‫ محافظت از رایانه‌های خود در برابر حملات LogoFAIL

تیم Binarly REsearch، یک شرکت پلت‌فرم امنیتی زنجیره تامین میان‌افزار، مجموعه‌ای از آسیب‌پذیری‌های امنیتی به نام LogoFAIL را کشف کرده است که با رابط‌های سخت‌افزار توسعه‌پذیر یکپارچه (UEFI) که ما برای بوت کردن تقریباً تمام دستگاه‌های محاسباتی مدرن از آن استفاده می‌کنیم، پنهان شده‌اند. لینوکس یا ویندوز، ARM یا x86، مهم نیست همه آنها آسیب پذیر هستند.

این تهدید سال‌ها و در واقع برای دهه‌ها در کمین سیستم‌ها بوده است. چیزی که آن را به ویژه نگران کننده می‌کند، طیف گسترده‌ای از رایانه‌های مصرف کننده و شرکتی است که تحت تأثیر قرار گرفته اند. هسته اصلی LogoFAIL بهره برداری از لوگوهای نمایش داده شده بر روی صفحه نمایش دستگاه در طول فرآیند بوت اولیه است، در حالی که UEFI هنوز در حال اجرا است.

این بهره برداری در مراحل اولیه فرآیند بوت اتفاق می‌افتد، بنابراین حملات از دفاع های UEFI مانند Microsoft Secure Boot و Intel Secure Boot که برای جلوگیری از عفونت های بوت کیت هستند دور می زند. این تکنیک یک خبر بد و بد است.

به طور خاص، این حمله از تجزیه‌کننده‌های تصویر UEFI بهره می‌برد. برنامه هایی در دسترس هستند که لوگوهای تصویر بوت را رندر می کنند، بنابراین می توانید آنها را ببینید. این نرم افزار توسط فروشندگان اصلی BIOS مستقل (IBV) مانند AMI، Insyde و Phoenix در UEFI گنجانده شده است.

سخت‌افزار UEFI می‌تواند حاوی تجزیه‌کننده‌هایی برای تصاویر در فرمت‌های تصویر متعدد، از جمله BMP، GIF، JPEG، PCX و TGA باشد. در مجموع، تیم Binarly 29 مشکل امنیتی پیدا کرد - و 15 مورد از آنها برای اجرای کد دلخواه قابل سوء استفاده بودند.

به طور خلاصه، این تجزیه‌کننده‌های تصویر UEFI ضعیف نگهداری می‌شدند و مملو از آسیب‌پذیری‌های حیاتی بودند. مهاجمان می‌توانند تصاویر لوگوی قانونی را با تصاویری مشابه که به طور ویژه برای سوء استفاده از اشکالات ساخته شده اند جایگزین کنند. این تکنیک امکان اجرای کدهای مخرب را در مرحله محیط اجرای درایور (DXE) که بخشی بسیار حساس از فرآیند بوت است، می‌دهد. این حمله قبل از شروع سیستم عامل اتفاق می‌افتد.

همانطور که محققان Binarly گفتند: "هنگامی که اجرای کد دلخواه در مرحله DXE انجام شود، بازی برای امنیت پلتفرم تمام می‌شود." از اینجا به بعد، مهاجمان "کنترل کامل بر حافظه و دیسک دستگاه مورد نظر، بنابراین شامل سیستم عاملی که راه اندازی خواهد شد" دارند.

بنابراین، هنگامی که اجرای کد دلخواه در مرحله DXE به دست آمد، یک مهاجم کنترل کامل بر حافظه و دیسک دستگاه مورد نظر، از جمله سیستم عاملی که راه اندازی خواهد شد، به دست می آورد. این توانایی به این معنی است که LogoFAIL می‌تواند یک بار مرحله دوم را تحویل دهد که قبل از شروع سیستم عامل اصلی، یک فایل اجرایی را روی هارد دیسک می‌ریزد. این سطح دسترسی تشخیص یا حذف عفونت را با استفاده از مکانیسم های دفاعی فعلی تقریبا غیرممکن می‌کند.

این آسیب‌پذیری‌ها در کنفرانس امنیتی کلاه سیاه در لندن فاش شد و طرف‌های آسیب‌دیده در حال انتشار توصیه‌هایی هستند که نشان می‌دهد کدام یک از محصولاتشان آسیب‌پذیر است و از کجا می‌توان وصله‌های امنیتی را دریافت کرد. تأثیر گسترده LogoFAIL واضح است زیرا تقریباً بر کل اکوسیستم CPU x64 و ARM از جمله تأمین کنندگان UEFI، سازندگان دستگاه مانند Lenovo و HP و سازندگان CPU مانند Intel، AMD و طراحان CPU ARM تأثیر می گذارد.

اما چرا این حمله چنین مشکل بزرگی است؟  به گفته بروس اشنایر، کارشناس امنیتی، پاسخ شرکت‌ها است: "خریداران شرکتی می‌خواهند که لوگوهای خود را نشان دهند. بنابراین این توانایی باید در BIOS باشد، به این معنی که آسیب پذیری‌ها توسط هیچ یک از سیستم عامل‌ها محافظت نمی شوند. و سازندگان BIOS احتمالاً تعدادی کتابخانه گرافیکی تصادفی را از اینترنت بیرون کشیده‌اند و هرگز بعد از آن لحظه‌ای به آن فکر نکرده‌اند.»

حالا برای چند خبر خوب

مک‌ها، گوشی‌های هوشمند و سایر دستگاه‌هایی که از UEFI استفاده نمی‌کنند آسیب پذیر نیستند. حتی مک‌های اپل اینتل که از UEFI برای راه اندازی استفاده می‌کردند، نمی‌توانند توسط LogoFAIL مورد حمله قرار گیرند. این محافظت به این دلیل اتفاق می‌افتد که اپل فایل‌های تصویر آرم خود را در UEFI کدگذاری کرده است و شما نمی‌توانید آنها را با یک نسخه تکراری مخرب جایگزین کنید.

اکثر کامپیوترهای Dell نیز آسیب پذیر نیستند. دلیل آن این است که این شرکت از Intel Boot Guard استفاده می‌کند تا جایگزینی تصاویر را غیرممکن کند. علاوه بر این، دستگاه‌های Dell، به طور کلی، به شما اجازه تغییر تصاویر لوگو را نمی‌دهند.

اگر ماشین‌های آسیب‌پذیر دارید، ابتدا باید مطمئن شوید که هیچ‌کس نمی‌تواند وارد دستگاه شود. این سطح از حفاظت به معنای اصلاح سیستم عامل و برنامه های خود در برابر تمام حملات شناخته شده است. اگر از ویندوز استفاده می کنید، محافظ های آنتی ویروس خود را به روز کنید. این برنامه ها نمی توانند LogoFAIL را متوقف کنند، اما می توانند شما را از دریافت بدافزاری که LogoFAIL را در سیستم شما بارگذاری می کند، بازدارند.

ترفند این است که در وهله اول از دسترسی مهاجمان به پارتیشن سیستم EFI (ESP) جلوگیری شود. این قسمت مخفی درایو شما جایی است که تصویر لوگو ذخیره می شود. اگر مهاجمان نتوانند به ESP برسند، نمی توانند به آن حمله کنند.

راه حل واقعی این است که سیستم عامل خود را ارتقا دهید. رفع اشکال از AMI، Intel، Insyde، Phoenix و Lenovo در راه است. اگرچه آنها به سرعت بیرون نمی‌آیند. همانطور که اینتل بیان می کند: "به روز رسانی های Bios در اواخر سه ماهه چهارم 2023 تا اوایل سه ماهه اول 2024 منتشر خواهد شد.

منبع

زدنت