-4 C
Москва
Суббота, 7 декабря, 2024
ДомойТехнологииВ сети найден код эксплойта LogoFAIL для установки бэкдора Bootkitty Linux

В сети найден код эксплойта LogoFAIL для установки бэкдора Bootkitty Linux

Дата:

Похожие новости

Путин заявил, что новый ракетный комплекс «Орешник» предназначен и для Беларуси

Россия намерена разместить свой новый ракетный комплекс «Орешник», недавно...

AMC Entertainment объявляет о очередной продаже акций, и акции падают

Ключевые выводы AMC Entertainment объявила, что проведет еще одну продажу...

Meta Platforms дает еще одну причину приобрести нефтегазовую буровую компанию Coterra Energy

Технологические гиганты все чаще ориентируются на ядерную энергетику в...
spot_imgspot_img
- Реклама -

Обычно безопасная загрузка предотвращает УЕФИ от запуска всех последующих файлов, если они не имеют цифровой подписи, подтверждающей, что этим файлам доверяет производитель устройства. Эксплойт обходит эту защиту путем внедрения шелл-кода, спрятанного в вредоносном растровом изображении, отображаемом UEFI во время процесса загрузки. Внедренный код устанавливает криптографический ключ, который ставит цифровую подпись вредоносному GRUB вместе с зашифрованным образом ядра Linux, оба из которых запускаются на более поздних этапах процесса загрузки на машинах Linux.

Автоматическая установка этого ключа заставляет UEFI рассматривать вредоносный GRUB и образ ядра как доверенные компоненты и тем самым обходить защиту Secure Boot. Конечным результатом является бэкдор, внедренный в ядро ​​Linux до того, как будут загружены любые другие средства защиты.

Диаграмма, иллюстрирующая поток выполнения эксплойта LogoFAIL, обнаруженного Binarly в дикой природе.


1 кредит

В онлайн-интервью Х.Д. Мур, технический директор и соучредитель runZero, а также эксперт по вредоносным программам на основе встроенного программного обеспечения, объяснил отчет Binarly следующим образом:

В документе Binarly указывается, что кто-то использовал ошибку LogoFAIL для настройки полезной нагрузки UEFI, которая обходит безопасную загрузку (прошивку), обманом заставляя прошивку принять их самоподписанный ключ (который затем сохраняется в прошивке как переменная MOK). Злой код по-прежнему ограничен пользовательской стороной UEFI, но эксплойт LogoFAIL позволяет им добавлять свой собственный ключ подписи в список разрешений прошивки (но в противном случае он никак не заражает прошивку).

По сути, это по-прежнему бэкдор ядра на основе GRUB, а не бэкдор прошивки, но он злоупотребляет ошибкой прошивки (LogoFAIL), чтобы обеспечить установку без взаимодействия с пользователем (регистрация, перезагрузка, затем принятие нового ключа подписи MOK).

При обычной настройке безопасной загрузки администратор генерирует локальный ключ, использует его для подписи обновленных пакетов ядра/GRUB, сообщает прошивке зарегистрировать созданный ключ, а затем после перезагрузки администратор должен принять этот новый ключ через консоль. (или удаленно через консоль BIOS bmc/ipmi/ilo/drac/etc).

В этой настройке злоумышленник может заменить заведомо исправное ядро ​​GRUB + версией с бэкдором, зарегистрировав свой собственный ключ подписи без взаимодействия с пользователем с помощью эксплойта LogoFAIL, но по сути это по-прежнему буткит на основе GRUB, и он не жестко запрограммирован в прошивка биоса или что-то еще.

К машинам, уязвимым для этого эксплойта, относятся некоторые модели, продаваемые Acer, HP, Fujitsu и Lenovo, которые поставляются с UEFI, разработанным производителем Insyde, и работают под управлением Linux. Данные, обнаруженные в коде эксплойта, указывают на то, что эксплойт может быть адаптирован для конкретных конфигураций оборудования таких машин. Ранее в этом году Insyde выпустила патч, который предотвращает работу эксплойта. Непропатченные устройства остаются уязвимыми. Устройства этих производителей, использующие UEFI сторонних производителей, не затронуты.

- Реклама -
Москва
пасмурно
-4 ° C
-3.7 °
-4.1 °
56 %
4.9kmh
100 %
Пт
-5 °
Сб
-2 °
Вс
-2 °
Пн
-0 °
Вт
-0 °

Последние новости

RUB - Русский рубль
EUR
106,166
USD
100,549
CNY
13,828
GBP
128,080
ILS
28,094
INR
1,187
TRY
2,891
JPY
0,670