“Hàng trăm thiết bị tiêu dùng và doanh nghiệp từ nhiều nhà cung cấp khác nhau, bao gồm Intel, Acer và Lenovo có khả năng bị tấn công”, Binarly đưa ra cảnh báo. Lỗ hổng LogoFAIL lần đầu tiên được tiết lộ trong một bài đăng vào ngày 29/11/2023 và các chi tiết kỹ thuật đã được công bố vào ngày 6/12 sau khi Binarly trình bày những phát hiện của mình tại sự kiện Black Hat Europe 2023.
LogoFAIL là một tập hợp các lỗ hổng firmware trong thư viện phân tích hình ảnh được sử dụng để tải logo trong quá trình khởi động thiết bị. Việc khai thác LogoFAIL yêu cầu kẻ tấn công phải có quyền truy cập vào phân vùng hệ thống EFI (ESP) nơi lưu trữ hình ảnh logo, tức là tin tặc đã có được quyền truy cập từ xa bằng cách khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.
Việc thay đổi hoặc thay thế hình ảnh logo bằng payload độc hại sẽ khiến phần mềm độc hại được lây nhiễm và thực thi tùy ý khi hình ảnh được phân tích cú pháp trong quá trình khởi động. Quá trình phân tích hình ảnh này diễn ra khá nhanh để các cơ chế bảo mật như Secure Boot và Intel Boot Guard có thể phát hiện được mã độc.
Các nhà nghiên cứu của Binarly cho biết: “Vectơ tấn công này có thể mang lại lợi thế cho kẻ tấn công trong việc vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit (loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút) tồn tại lâu dài trong phân vùng ESP hoặc firmware có hình ảnh logo đã được sửa đổi”.
Bề mặt tấn công của LogoFAIL là rất lớn do ba nhà cung cấp BIOS độc lập là AMI, Insyde và Phoenix sử dụng rộng rãi các trình phân tích cú pháp hình ảnh bị ảnh hưởng. Các nhà cung cấp này cung cấp firmware hệ thống UEFI cho hàng chục nhà sản xuất thiết bị lớn, bao gồm Acer, Intel và Lenovo, sau đó họ kết hợp firmware vào hàng trăm mẫu thiết bị.
Giám đốc điều hành Binarly, ông Alex Matrosov ước tính 95% thiết bị sử dụng phần mềm UEFI từ một trong những nhà cung cấp BIOS bị ảnh hưởng. Tuy nhiên, các nhà nghiên cứu của Binarly cho biết, không phải tất cả các thiết bị có lỗi phân tích cú pháp hình ảnh đều có thể được coi là thực sự “có thể bị khai thác”. Ví dụ, trong khi các thiết bị Dell được các nhà nghiên cứu kiểm tra, có tổng cộng 526 trình phân tích cú pháp bị lỗi, các lỗ hổng này không thể được sử dụng để thực thi mã độc vì máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.
Mặc dù hiện vẫn chưa thể tổng hợp danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng nhưng Binaryly cho biết đã báo cáo các lỗ hổng này cho các nhà cung cấp BIOS cũng như các nhà cung cấp thiết bị lớn nhiều tháng trước khi tiết lộ chi tiết về LogoFAIL. Người dùng sẽ cần đảm bảo firmware trên máy tính của họ được cập nhật bảo mật để bảo vệ tránh bị khai thác LogoFAI.
Tuấn Hưng
(SCmagazine)
07:00 | 18/01/2024
09:00 | 24/11/2023
09:00 | 08/12/2023
08:00 | 11/01/2024
07:00 | 18/01/2024
13:00 | 21/11/2023
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 24/04/2024