“Hàng trăm thiết bị tiêu dùng và doanh nghiệp từ nhiều nhà cung cấp khác nhau, bao gồm Intel, Acer và Lenovo có khả năng bị tấn công”, Binarly đưa ra cảnh báo. Lỗ hổng LogoFAIL lần đầu tiên được tiết lộ trong một bài đăng vào ngày 29/11/2023 và các chi tiết kỹ thuật đã được công bố vào ngày 6/12 sau khi Binarly trình bày những phát hiện của mình tại sự kiện Black Hat Europe 2023.
LogoFAIL là một tập hợp các lỗ hổng firmware trong thư viện phân tích hình ảnh được sử dụng để tải logo trong quá trình khởi động thiết bị. Việc khai thác LogoFAIL yêu cầu kẻ tấn công phải có quyền truy cập vào phân vùng hệ thống EFI (ESP) nơi lưu trữ hình ảnh logo, tức là tin tặc đã có được quyền truy cập từ xa bằng cách khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.
Việc thay đổi hoặc thay thế hình ảnh logo bằng payload độc hại sẽ khiến phần mềm độc hại được lây nhiễm và thực thi tùy ý khi hình ảnh được phân tích cú pháp trong quá trình khởi động. Quá trình phân tích hình ảnh này diễn ra khá nhanh để các cơ chế bảo mật như Secure Boot và Intel Boot Guard có thể phát hiện được mã độc.
Các nhà nghiên cứu của Binarly cho biết: “Vectơ tấn công này có thể mang lại lợi thế cho kẻ tấn công trong việc vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit (loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút) tồn tại lâu dài trong phân vùng ESP hoặc firmware có hình ảnh logo đã được sửa đổi”.
Bề mặt tấn công của LogoFAIL là rất lớn do ba nhà cung cấp BIOS độc lập là AMI, Insyde và Phoenix sử dụng rộng rãi các trình phân tích cú pháp hình ảnh bị ảnh hưởng. Các nhà cung cấp này cung cấp firmware hệ thống UEFI cho hàng chục nhà sản xuất thiết bị lớn, bao gồm Acer, Intel và Lenovo, sau đó họ kết hợp firmware vào hàng trăm mẫu thiết bị.
Giám đốc điều hành Binarly, ông Alex Matrosov ước tính 95% thiết bị sử dụng phần mềm UEFI từ một trong những nhà cung cấp BIOS bị ảnh hưởng. Tuy nhiên, các nhà nghiên cứu của Binarly cho biết, không phải tất cả các thiết bị có lỗi phân tích cú pháp hình ảnh đều có thể được coi là thực sự “có thể bị khai thác”. Ví dụ, trong khi các thiết bị Dell được các nhà nghiên cứu kiểm tra, có tổng cộng 526 trình phân tích cú pháp bị lỗi, các lỗ hổng này không thể được sử dụng để thực thi mã độc vì máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.
Mặc dù hiện vẫn chưa thể tổng hợp danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng nhưng Binaryly cho biết đã báo cáo các lỗ hổng này cho các nhà cung cấp BIOS cũng như các nhà cung cấp thiết bị lớn nhiều tháng trước khi tiết lộ chi tiết về LogoFAIL. Người dùng sẽ cần đảm bảo firmware trên máy tính của họ được cập nhật bảo mật để bảo vệ tránh bị khai thác LogoFAI.
Tuấn Hưng
(SCmagazine)
07:00 | 18/01/2024
09:00 | 24/11/2023
09:00 | 08/12/2023
08:00 | 11/01/2024
07:00 | 18/01/2024
13:00 | 21/11/2023
09:00 | 25/02/2025
Nhóm tin tặc APT do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon, đã bị phát hiện khai thác 2 lỗ hổng đã biết trong các thiết bị Cisco trong các cuộc tấn công gần đây nhằm vào các nhà cung cấp dịch vụ viễn thông.
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Cục Điều tra Liên bang Mỹ (FBI) vừa phát đi cảnh báo về sự gia tăng của mã độc tống tiền (ransomware) từ nhóm Medusa, đe dọa người dùng Gmail, Outlook và VPN.
14:00 | 24/03/2025
