LogoFAIL是个人电脑的UEFI (Unified Extensible Firmware Interface) 生态系统的一组严重漏洞。
利用LogoFAIL漏洞会使基本的端点安全措施失效,并使攻击者能够对受影响的系统深度控制。
根据国外资安研究人员发布的报告显示,LogoFAIL源自于开机程序中的影像分析库,影响了 所有x86 和ARM 装置的主要制造商,包括英特尔、宏碁和联想。
研究人员警告说,LogoFAIL影响整个PC生态系统,而不仅仅是个别供应商。 CERT/CC VINCE报告LogoFAIL漏洞。修补计画预定于12 月 6 日发布。
研究人员发现,透过在 EFI 系统分区 (ESP) 或未签署的韧体更新部分嵌入受损映像,恶意行为者可以在开机期间执行恶意程式码,从而劫持启动过程。
这样的攻击手法绕过了安全启动和Intel Boot Guard等关键安全措施,并协助在作业系统层级下运行的韧体开机套件。
研究人员解释,攻击者可以将特权程式码执行权写入韧体,因此它在设计上绕过了安全边界,就像安全启动一样。
LogoFAIL并不是第一次发现安全启动绕过;2022 年11 月,五款Acer 笔记型电脑型号中发现韧体缺陷,可用于停用安全启动并允许恶意攻击者载入恶意软体;BlackLotus(黑莲花)组织就曾经利用此缺陷进行攻击。
然而LogoFAIL 与先前的威胁不同,因为它不会透过修改引导程式或韧体元件来破坏执行时间完整性。 LogoFAIL 是一种纯资料攻击,当恶意输入来自韧体图像或在系统启动过程中从 ESP 分区读取Logo,确实很难检测到攻击行为。研究人员表示,使用 ESP 攻击的向量在韧体本身内部不会留下任何证据,因为Logo为外部来源。
大多数 PC 生态系统都很脆弱来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的韧体设备很容易受到LogoFAIL影响,而这三家公司的韧体包含95%的 BIOS 生态圈设备。
因此全球大多数设备都受到LogoFAIL影响,包括消费级和企业级的个人电脑,如宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和多个其他品牌。
Phoenix Technologies将LogoFAIL追踪为CVE-2023-5058,存在于Phoenix SecureCore Technology 4的1.0.5版本以下。 LogoFAIL 也被 Insyde 追踪为 CVE-2023-40238,并被 AMI 追踪为 CVE-2023-39539 和 CVE-2023-39538。
韧体公司正在与多家设备供应商积极合作,以协调整个领域的漏洞揭露和缓解工作。
为了降低韧体风险,用户应随时了解制造商的建议并及时应用韧体更新,因为它们通常可以解决关键的安全缺陷。资安研究人员也建议不要盲目信任供应商,而是验证供应商的安全承诺。