Мільярди комп'ютерів можуть бути атаковані в мить: хто під загрозою та що робити
Атака LogoFAIL дає змогу замінити логотип виробника та викликати помилку під час завантаження пристрою, щоб отримати повний контроль над жорстким диском і пам'яттю.
Експерти з компанії Binarly, що займається кібербезпекою, виявили ризик злому прошивки UEFI, унаслідок чого величезна кількість техніки, що працює на операційній системі Windows або Linux можуть опинитися під загрозою хакерських атак, передає Arstechnica.
Що таке прошивка UEFI та наскільки вона важлива
Комп'ютери старшого покоління мали прошивку (оболонку) BIOS. Нові машини, як правило, оснащені сучасним її аналогом — UEFI. Такого роду програми відповідають за запуск операційних систем, будь-то Windows або Linux. На відміну від BIOS, UEFI відповідає за підтримку жорстких дисків більшого обсягу, завантажується досить швидко, має графічний інтерфейс, підтримує маніпулятор "миша". Також, за словами розробників, нова прошивка має кращі характеристики кібербезпеки. Однак нещодавно експерти у сфері комп'ютерної безпеки виявили, що UEFI схильна до злому за допомогою... зображень логотипів. Вони зробили висновок, що мільярди ПК і ноутбуків, які працюють на Windows і Linuх, уразливі до такої атаки.
Хакери можуть використовувати низку вразливостей на етапі завантаження оболонки, щоб підмінити справжній логотип шкідливим файлом, що містить код DXE (Driver Execution Environment). Після цього система за лічені миті заражається вірусом, виявити або видалити який досить складно.
Що потрібно знати про атаку LogoFAIL
Атаці дали назву LogoFAIL, і вона використовує близько двох десятків нещодавно виявлених вразливостей, які приховувалися роками, якщо не десятиліттями. Експерти попередили, що вона може впоратися практично з будь-яким пристроєм. Якщо атаку виконувати через експлойти (вразливості системи), що запускаються на ранніх стадіях завантаження системи, то зловмисники можуть обійти засоби захисту на кшталт Secure Boot, а також системи від Intel, AMD та інших розробників.
Співробітники Binarly дійшли висновку, що LogoFAIL може вразити більшість процесорів сімейства x64-86 і систему ARM. Від атаки можуть постраждати оболонки UEFI, від AMI, Insyde і Phoenix, продукти від Lenovo і HP, процесори від Intel, AMD і від різних розробників Arm-процесорів.
LogoFAIL діє через логотипи виробників техніки, які з'являються на екрані, щойно стартує завантаження UEFI. Програма підміняє справжні лого підробленими.
У підсумку, вірус проникає на жорсткий диск, де зберігаються завантажувачі, образи ядра, драйвери, системні утиліти й інші файли, необхідні для завантаження ОС. На цьому хакери отримують повний контроль над пам'яттю комп'ютера і можуть встановлювати своє програмне забезпечення абсолютно непомітно для жертви.
Яким комп'ютерам LogoFAIL не загрожує
Комп'ютерна техніка від Apple від атаки не постраждає, кажуть фахівці. Річ у тім, що Mac мають альтернативні механізми завантаження, але навіть коли Apple встановлювала UEFI на комп'ютери попереднього покоління з чипами Intel, вони не були вразливі до LogoFAIL. Річ у тім, що розробники Apple надійно закодували файли образів оболонки, і з цієї причини підмінити логотип на лого зі шкідливим кодом неможливо.
Добре захищені й пристрої від Dell, за захист прошивки яких відповідає система Intel Boot Guard. Зокрема, Dell просто не вбудовувала можливість налаштування логотипа.
Як захистити свій комп'ютер від атаки LogoFAIL
LogoFAIL має такі маркери: CVE-2023-5058, CVE-2023-39538, CVE-2023-39539 і CVE-2023-40238. Експертам у сфері кібербезпеки варто звернути увагу на продукти від AMI, Insyde, Phoenix, Lenovo. Це не кінцевий список компаній, софт і "залізо" яких можуть постраждати від вірусу, — це теж треба врахувати.
Захиститися від атак LogoFAIL можна, встановивши оновлення безпеки UEFI, які незабаром зобов'язалися випустити й поширити виробники пристроїв і материнських плат. Оболонку UEFI варто налаштувати так, щоб було задіяно одразу кілька рівнів захисту. Тобто, окрім Secure Boot, варто встановити Intel Boot Guard, Intel BIOS Guard, засоби захисту для пристроїв з чипами AMD або ARM.
Раніше ми повідомляли про те, що величезна кількість смартфонів, що працюють на ОС Android, можуть бути зламані за допомогою ПЗ, яке краде дані та навіть гроші.