LogoFAIL: UEFI Vulnerabilities Expose Devices to Stealth Malware Attacks
2023/12/04 TheHackerNews — 様々な独立系ファームウェア/BIOS ベンダー (IBV:Independent firmware/BIOS Vendors) の UEFI (Unified Extensible Firmware Interface) コードを解析したところ、ファームウェアに埋め込まれた画像解析ライブラリに存在する深刻な脆弱性の悪用により、潜在的な攻撃に対して脆弱であることが判明した。この脆弱性を LogoFAIL と命名した Binarly は、「この脆弱性の悪用に成功した脅威アクターたちが、悪意のペイロードを配信し、Secure Boot/Intel Boot Guard などのセキュリティ技術をバイパスする可能性がある」と説明している。
さらに、EFI システム・パーティションに、悪意のロゴ画像ファイルを注入することで、セキュリティ・ソリューションを回避し、ブート段階でシステムを侵害し、永続的なマルウェア配信も可能になるという。
この問題はチップの種類には関係なく、UEFI/IBV 固有のものであり、x86/ARM ベースのデバイスに影響を与える。この脆弱性は、ヒープバッファ・オーバーフローと境界外読み出しで構成されており、その詳細については、今週末に開催される Black Hat Europe カンファレンスで公表される予定だという。
これらの脆弱性は、注入された画像が解析される際にトリガーされ、ペイロードが実行されることで、フローのハイジャックとセキュリティ・メカニズム回避にいたる可能性があるという。
Binarly は、「この攻撃ベクターでは、ほとんどのエンドポイント・セキュリティ・ソリューションが回避され、ロゴ・イメージが変更された ESP パーティション/ファームウェア・カプセルに存在するステルス・ファームウェア・ブートキットが配布される。したがって、攻撃者に優位性を与えてしまう」と述べている。
この攻撃に成功した脅威アクターは、影響を受けたホストをコントロールできるようになり、レーダーを回避した持続的なマルウェアの展開が可能になる。
LogoFAIL で注目すべき点は、BlackLotus や BootHole とは異なり、ブートローダーやファームウェア・コンポーネントを変更することで、ランタイムの整合性を破壊しないことにある。
この脆弱性は、AMI/Insyde/Phoenix のなどの主要 IBV だけではなく、Intel/Acer/Lenovo などのベンダーにも影響を及ぼす。したがって、何百ものコンシューマー/エンタープライズ・グレードのデバイスが、深刻な影響の範囲となる。
2009年に、研究者の Rafal Wojtczuk と Alexander Tereshkin が、BMP 画像パーサーのバグを悪用してマルウェアを永続化させる方法を発表している。そして、今回の発表は、UEFI システム・ファームウェアに組み込まれた、グラフィック画像パーサー攻撃を明らかにする、初めて事例となる。
Binarly は、「発見されたセキュリティ脆弱性が影響を及ぼす、膨大な製品と広大な範囲は、IBV リファレンス・コードにおける、セキュリティ成熟度とコード品質のレベルを示している」と述べている。
BIOS とか UEFI に関する脆弱性については、頭の中でイメージを構成し難いので、翻訳にも手こずることが多いです。関連記事としては、2023/03/01 に「BlackLotus という UEFI Bootkit マルウェア第1号:Windows 11 の Secure Boot を突破する」というポストがありました。また、同様にハードウェアに近いところの記事としては、2023/11/22 の「Windows Hello 認証バイパスの問題:指紋センサー・プロトコルの不適な実装」がありました。よろしければ、UEFI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.