研究人员称“LogoFAIL”漏洞可能影响 95% 的计算机

研究人员表示，影响大多数计算机的固件漏洞使黑客能够执行恶意代码并绕过启动安全系统。

研究人员表示，可能影响95%计算机的固件漏洞使黑客能够无视启动安全并在启动时执行恶意软件。这些缺陷源于 UEFI 系统固件中用于在启动屏幕上加载徽标图像的图像解析器，因此被称为“LogoFAIL”。

发现这些漏洞的固件供应链安全公司 Binarly 的研究人员警告说：

“包括英特尔、宏碁和联想在内的不同供应商的数百种消费级和企业级设备可能容易受到攻击。”

LogoFAIL 首次在11月29日的博客文章中披露，技术细节在Binarly 在Black Hat Europe 2023上展示其发现后于周三发布。

什么是LogoFAIL？

LogoFAIL 是用于在设备启动过程中加载徽标的图像解析库中的一组固件漏洞。利用 LogoFAIL 要求攻击者能够访问存储徽标图像的 EFI 系统分区 (ESP)，即黑客通过利用其他错误获得远程访问权限或对设备进行物理访问。

使用恶意负载更改或替换徽标图像会导致在启动过程中解析图像时注入的恶意软件被任意执行。此图像解析过程发生得太早，无法让安全启动和英特尔 Boot Guard 等安全机制检测到恶意代码。

Binarly 研究人员写道：

“这种攻击向量可以为攻击者提供绕过大多数端点安全解决方案的优势，并提供一个隐形固件启动工具包，该启动工具包将持续存在于 ESP 分区或带有修改过的徽标图像的固件胶囊中。”

我的计算机是否受到 LogoFAIL 的影响？

由于三个主要独立 BIOS 供应商 (IBV)（AMI、Insyde 和 Phoenix）普遍使用受影响的图像解析器，LogoFAIL 的攻击面非常巨大。这些供应商为宏碁、英特尔和联想等数十家主要设备制造商提供 UEFI 系统固件，然后这些制造商将固件整合到数百种设备型号中。

据 DarkReading 称， Binarly 首席执行官 Alex Matrosov 估计95%的设备使用来自受影响的 IBV 之一的 UEFI 固件。

然而，Binarly 研究人员报告称，并非所有具有构成 LogoFAIL 的图像解析器缺陷的设备都可以被视为真正“可利用”。例如，虽然研究人员测试的戴尔设备总共包含了526个有缺陷的解析器，但这些缺陷无法用于执行恶意代码，因为戴尔计算机不允许更改启动徽标图像。

虽然研究人员尚未能够编制受影响设备型号的完整列表，但他们在披露 LogoFAIL 详细信息的几个月前就向主要 IBV 和设备供应商报告了这些漏洞。用户需要确保他们的计算机固件是最新的，以防止 LogoFAIL 漏洞；例如，联想发布了安全公告以及有关如何更新特定设备型号的说明。

封面来源于网络，如有侵权请联系删除