Миллиарды компьютеров могут быть атакованы в момент: кто под угрозой и что предпринять
Атака LogoFAIL позволяет заменить логотип производителя и вызвать ошибку при загрузке устройства, чтобы получить полный контроль над жестким диском и памятью.
Эксперты из компании Binarly, занимающейся кибербезопасностью, обнаружили риск взлома прошивки UEFI, вследствие чего огромное количество техники, работающей на операционной системе Windows или Linux могут оказаться под угрозой хакерских атак, передает Arstechnica.
Что такое прошивка UEFI и насколько она важна
Компьютеры старшего поколения имели прошивку (оболочку) BIOS. Новые машины, как правило оснащены современным ее аналогом — UEFI. Такого рода программы отвечают за запуск операционных систем, будь то Windows или Linux. В отличие от BIOS, UEFI отвечает за поддержку жестких дисков большего объема, загружается довольно быстро, имеет графический интерфейс, поддерживает манипулятор "мышь". Также, по словам разработчиков, новая прошивка имеет лучшие характеристики кибербезопасности. Однако недавно эксперты в сфере компьютерной безопасности обнаружили, что UEFI подвержена взлому при помощи… изображений логотипов. Они сделали вывод, что миллиарды ПК и ноутбуков, работающих на Windows и Linuх, уязвимы к такой атаке.
Хакеры могут использовать ряд уязвимостей на этапе загрузки оболочки, чтобы подменить настоящий логотип вредоносным файлом, содержащим код DXE (Driver Execution Environment). После этого система за считанные мгновения заражается вирусом, обнаружить или удалить который весьма сложно.
Что нужно знать об атаке LogoFAIL
Атаке дали название LogoFAIL, и она использует около двух десятков недавно обнаруженных уязвимостей, которые скрывались годами, если не десятилетиями. Эксперты предупредили, что она может справиться практически с любым устройством. Если атаку выполнять через эксплойты (уязвимости системы), запускающиеся на ранних стадиях загрузки системы, то злоумышленники могут обойти средства защиты вроде Secure Boot, а также системы от Intel, AMD и других разработчиков.
Сотрудники Binarly пришли к выводу, что LogoFAIL может поразить большинство процессоров семейства x64-86 и систему ARM. От атаки могут пострадать оболочки UEFI, от AMI, Insyde и Phoenix, продукты от Lenovo и HP, процессоры от Intel, AMD и от разных разработчиков Arm-процессоров.
LogoFAIL действует через логотипы производителей техники, которые появляются на экране, как только стартует загрузка UEFI. Программа подменяет настоящие лого поддельными.
В итоге, вирус проникает на жесткий диск, где хранятся загрузчики, образы ядра, драйверы, системные утилиты и другие файлы, необходимые для загрузки ОС. На этом хакеры получают полный контроль над памятью компьютера и могут устанавливать свое программное обеспечение абсолютно незаметно для жертвы.
Каким компьютерам LogoFAIL не грозит
Компьютерная техника от Apple от атаки не пострадает, говорят специалисты. Дело в том, что Mac имеют альтернативные механизмы загрузки, но даже когда Apple устанавливала UEFI на компьютеры предыдущего поколения с чипами Intel, они не были уязвимы к LogoFAIL. Все дело в том, что разработчики Apple надежно закодировали файлы образов оболочки, и по этой причине подменить логотип на лого с вредоносным кодом невозможно.
Хорошо защищены и устройства от Dell, за защиту прошивки которых отвечает система Intel Boot Guard. Кроме того, Dell просто не встраивала возможность настройки логотипа.
Как защитить свой компьютер от атаки LogoFAIL
LogoFAIL имеет такие маркеры: CVE-2023-5058, CVE-2023-39538, CVE-2023-39539 и CVE-2023-40238. Экспертам в сфере кибербезопасности стоит обратить пристальное внимание на продукты от AMI, Insyde, Phoenix, Lenovo. Это не конечный список компаний, софт и "железо", которых могут пострадать от вируса, — это тоже надо учесть.
Защититься от атак LogoFAIL можно, установив обновления безопасности UEFI, которые в скором времени обязались выпустить и распространить производители устройств и материнских плат. Оболочку UEFI стоит настроить таким образом, чтобы были задействованы сразу нескольких уровней защиты. То есть, кроме Secure Boot, стоит установить Intel Boot Guard, Intel BIOS Guard, средства защиты для устройств с чипами AMD или ARM.
Ранее мы сообщали о том, что огромное количество смартфонов, работающих на ОС Android, могут быть взломаны при помощи ПО, которое ворует данные и даже деньги.