اکسپلویت LogoFAIL اقدامات امنیتی سخت افزاری و نرم افزاری را دور می زند و شناسایی یا حذف آن تقریبا غیرممکن است
چند روز پیش خبری منتشر شد که واقعا تکان دهنده بود. بر اساس گزارشی از آرس تکنیکا، رایانههایی ویندوزی و لینوکسی مورد حمله یک بدافزار جدید به نام لوگوفِیل شده اند.
این حمله از جهت دامنه تاثیر گذاری آن بسیار تکان دهنده است. لوگویی که معمولا در زمان بوت شدن سیستم نمایش داده میشود توسط این نرم افزار دوباره نوشته شده و اجرا می شود(به همین دلیل نام آن لوگوفِیل است). این کار زودتر از اقدامات نرم افزارهای امنیتی است که برای جلوگیری از حمله bootkit طراحی شده اند، انجام می شود.
مادربردهایی UEFI هدف لوگوفِیل
مشکل تمام مادربردهایی می باشد که از UEFI شرکتهای مستقل سازنده بیوس (IBVs) مثل AMI، Insydeو Phoenix استفاده میکنند. این شرکتها می بایست هر چه سریع تر آپدیتهای امنیتی برای UEFI مادربردها خود منتشر کنند.
بدلیل اینکه روش کار لوگوفِیل باز نویسی لوگوی بوت در UEFI می باشد، پس می تواند روی هر سکویی که از اینتل، ایامدی یا ARM استفاده می کند فارغ از اینکه سیستم عامل آن ویندوری هست یا لینوکسی، اجرا بشود.
“به نظر من این حمله واقعا خطرناکه و امنیت سختافزاری و نرمافزاری رو به شدت کاهش میده. چون تقریباً غیرقابل تشخیص و حذفه. پس توصیه میکنم هرچه زودتر آپدیتهای لازم رو نصب کنید تا از این حمله در امان باشید.”
جواب معمای روش حمله لوگوفِیل به دلیل ساختار امنیتی ضعیف در بازنویسی لوگوی بوت نهفته است!
اولین بار روش حمله لوگوفِیل توسط محققان شرکت Binarly کشف شد و آنها نتایج بررسی خود را در اختیار عموم قرار داده اند. این حمله زمانی رخ میدهد که مرحله “محیط اجرای درایور” (DXE) در حال انجام است. بعد از بوت موفق. مرحله DXE مسئول بارگذاری سرویسهای بوت و رانتایم بوده و راهاندازی CPU و چیپست و سایر کامپوننتها در ترتیب صحیح برای ادامه فرآیند بوت را برعهده دارد.
لوگوفِیل لوگوی بوت UEFI رو با اکسپلویت جایگزین میکند که در مرحله DXE اجرا میشود. این محققان توانستند این حمله را روی یک لپتاپ لنوو با پردازنده نسل یازدهم اینتل و امکانات امنیتی اینتل سکیور بوت و بوت گارد فعال اجرا کنند.
“به نظر من این روش حمله جدید میتونه برای سیستمهایی که لوگوی بوتشون قابل نوشتن مجدده خطرناک باشه. امیدوارم این حمله زودتر توسط تولیدکنندگان سختافزارها پچ شه تا امنیت سیستمها بیشتر حفظ بشه.”
خطر جدیدی برای امنیت رایانههای شخصی
این بدافزار توسط الکس ماترودوف، بنیانگذار و مدیرعامل شرکت بینارلی مطرح شده است.به گفته الکس، این مشکل از طریق استفاده از آسیبپذیری جدیدی در کتابخانههای پردازش تصویر که در زمان بوت سیستم مورد استفاده قرار میگیرند به وجود میآید. اکسپلویت LogoFAIL از این آسیبپذیری بهره میبرد تا از همه راهکارهای امنیتی پیادهسازی شده توسط پردازنده، سیستمعامل و نرمافزارهای امنیتی عبور کند.
از آنجایی که این اکسپلویت در درایو ذخیره نمیشود، حذف آلودگی حتی پس از فرمت کردن سیستمعامل هم ممکن نیست. این اکسپلویت سطح UEFI میتواند بعداً یک بوتکیت را بدون محدودیت توسط هیچ لایه امنیتی نصب کند – که بسیار خطرناک است.
البته باید این نکته را هم بیان کنیم که رایانههای مک و برخی رایانههای آماده در بازار که توسط شرکتهایی مانند دل تولید میشوند، امکان تغییر لوگو در سطح UEFI را ندارند و فایلهای تصویری آنها توسط گارد تصویر بوت محافظت میشوند. بنابراین این رایانهها در برابر این اکسپلویت مصون هستند.
اگر سازنده سیستم شما اجازه ویرایش تصاویر بوت را در بایوس خود ندهد، شما نیز باید نگرانی از هت این بدافزار نداشته باشید. اما برای سایر کاربران، این حمله باید توسط سازندگان مادربرد و شرکتهای تولیدکننده تجهیزات اصلی برطرف شود، چرا که تحقیقات نشان میدهد هر دو آسیبپذیر هستند.