Sawaktos Anjeun ngahurungkeun laptop, logo produsén dipintonkeun dina layar sateuacan sistem operasi boot. logo ieu sabenerna bisa dirobah – fungsi dimaksudkeun pikeun pamakéan ku laptop atawa pabrik desktop. Tapi teu aya anu ngahalangan pangguna kasual tina ngagunakeun éta sareng ngagentos logo standar ku gambar anu béda.

Logo disimpen dina kode anu dieksekusi pas komputer dihurungkeun, disebut firmware UEFI. Tétéla yén fungsi ngagantian logo ieu muka jalan pikeun alat nu bakal serius compromised – panyerang bisa hack eta sarta salajengna meunang kontrol sistem, sarta ieu malah bisa dipigawé jarak jauh. Kamungkinan serangan sapertos kitu, anu namina LogoFAIL, nembe dibahas ku spesialis di Binarly. Dina tulisan ieu, urang bakal nyobian ngajelaskeun sacara sederhana, tapi mimitina hayu urang ngelingan bahaya anu disebut bootkit UEFI.

UEFI bootkit: malware dimuat sateuacan sistem

Dina sajarahna, program anu dijalankeun nalika PC dihurungkeun disebut BIOS (Basic Input/Output System). Kamampuhanna kawates pisan, tapi éta mangrupikeun program penting anu ditugaskeun pikeun ngamimitian hardware komputer teras mindahkeun kontrol ka sistem operasi loader. Kusabab ahir taun 2000-an, BIOS laun-laun mimiti diganti ku UEFI – versi anu langkung maju tina program dasar anu sami sareng kamampuan tambahan, kalebet panyalindungan ngalawan palaksanaan kodeu jahat.

Sacara husus, UEFI nerapkeun fitur Secure Boot anu ngagunakeun algoritma kriptografi pikeun mariksa kodeu dina unggal tahapan boot komputer — ti mimiti ngaktipkeun nepi ka ngamuat sistem operasi. Hal ieu ngajadikeun eta leuwih hese ngaganti kode OS asli jeung kode jahat, contona. Tapi hanjakalna, bahkan téknologi kaamanan ieu henteu ngaleungitkeun kamungkinan ngamuat kode jahat dina tahap awal. Sareng upami panyerang tiasa “nyelundupkeun” malware atanapi anu disebut bootkit kana UEFI, akibatna tiasa parah pisan.

Masalah sareng bootkits UEFI nyaéta aranjeunna hésé pisan dideteksi tina sistem operasi. Bootkits tiasa ngarobih file sistem sareng ngajalankeun kode jahat dina OS kalayan hak istimewa maksimal. Sareng masalah utama nyaéta yén éta tiasa salamet henteu ngan ukur pamasangan ulang lengkep sistem operasi, tapi ogé ngagantian hard drive. Disimpen dina firmware UEFI, bootkit henteu ngandelkeun data anu disimpen dina sistem drive. Hasilna, bootkits mindeng dipaké dina serangan sasaran kompléks. Conto serangan sapertos dijelaskeun dina ulikan ieu ku ahli urang.

Janten naon hubunganana gambar sareng éta?

Kusabab UEFI gaduh panyalindungan anu cukup kuat ngalawan palaksanaan kode jahat, ngalebetkeun Trojan kana prosés boot henteu gampang. Nanging, tétéla, kalemahan dina kode UEFI tiasa dieksploitasi pikeun ngaéksekusi kode sawenang dina tahap awal ieu. Aya alesan alus pikeun spesialis Binarly nengetan mékanisme anu ngamungkinkeun ngaganti logo pabrik. Pikeun mintonkeun logo, program dibuka nu maca data ti file gambar grafis jeung mintonkeun gambar ieu dina layar. Kumaha lamun urang nyobian sangkan program ieu kalakuanana goréng?

Aya tilu pamekar parangkat lunak UEFI utama: AMI, Insyde, sareng Phoenix. Tiap di antarana pendekatan ngolah logo béda. Contona, Insyde boga program ngolah gambar misah pikeun sagala rupa format, ti JPEG ka BMP. AMI sareng Phoenix ngagabungkeun penanganan sadaya format kana hiji program. Kerentanan kapanggih dina unggal sahijina, kalawan jumlahna aya dua puluh opat kasalahan kritis. Hasil ahir tina ngamangpaatkeun salah sahiji kasalahan ieu dipidangkeun dina video ieu:

Démonstrasi serangan LogoFAIL. Sumber

Sadayana saderhana: panyerang tiasa ngarobih gambar logo énggal anu dipikahoyong. Ieu kalebet, contona, netepkeun resolusi logo supados parameter ieu ngaleuwihan wates anu dijelaskeun dina kode penanganan. Ieu nyababkeun kasalahan itungan sareng pamustunganana nyababkeun data ditulis tina file gambar ka daérah data anu tiasa dieksekusi. Data ieu lajeng bakal dieksekusi kalawan hak husus maksimum. Video di luhur nunjukkeun hasil tina bootkit anu katingalina teu bahaya: file téks disimpen dina desktop Windows. Nanging, upami kodeu jahat ngagaduhan tingkat aksés ieu, panyerang tiasa ngalakukeun ampir sagala tindakan dina sistem operasi.

Utamana, sababaraha model alat ti pabrik utama henteu rentan ka serangan ieu, sarta pikeun alesan basajan pisan: ngarobah logo di UEFI dasarna diblokir. Diantara model ieu sajumlah laptop Apple sareng alat Dell.

Implikasi bahaya pikeun dunya bisnis

Sacara téori, serangan ieu malah tiasa dilaksanakeun jarak jauh: dina sababaraha kasus, cukup pikeun nyelapkeun gambar anu disiapkeun khusus kana partisi sistem EFI dina disk sistem, sareng éta bakal diolah dina reboot salajengna. Masalahna nyaéta yén ngalaksanakeun operasi sapertos kitu parantos peryogi aksés pinuh kana sistem; nyaeta, sagala data dina komputer kudu geus sadia pikeun lawan. Anjeun panginten panginten, naon gunana ngalaksanakeun serangan LogoFAIL? Pikeun mastikeun yén kode jahat tetep aya sanajan OS dipasang deui – kegigihan jenis ieu biasana diperyogikeun pisan ku operator serangan APT.

Masalah ieu laun-laun bakal kajawab ku vérsi UEFI anu diropéa anu ngalereskeun kasalahan dina panangan gambar. Nanging, kumargi henteu sadaya perusahaan ngiringan apdet firmware, sajumlah ageung alat sigana teu dijagi. Sareng daptar alat anu rentan kalebet henteu ngan ukur laptop tapi ogé sababaraha motherboards server. Ieu ngandung harti yén panalungtikan Binarly kudu dilaksanakeun pisan serius.


#LogoFAIL #serangan #substitusi #gambar #UEFI