Компания Binarly подтвердила, что недавно обнаруженный UEFI-буткит для Linux под названием “Bootkitty” использует уязвимость LogoFAIL для атаки на компьютеры с уязвимой прошивкой. Уязвимость CVE-2023-40238, впервые выявленная в ноябре 2023 года, связана с обработкой изображений в прошивке и позволяет злоумышленникам обходить защитные механизмы, включая Secure Boot.
ESET, которая первоначально задокументировала буткит, уточнила, что Bootkitty разработан студентами программы обучения кибербезопасности Best of the Best (BoB) в Корее. Проект направлен на привлечение внимания к рискам уязвимостей в UEFI и стимулирование мер по их предотвращению. Однако разработчики признали, что некоторые образцы буткита были раскрыты до планируемой презентации на конференции.
LogoFAIL представляет собой набор уязвимостей, обнаруженных в коде обработки изображений прошивок UEFI. Ошибки позволяют атакующему внедрять вредоносные изображения или логотипы в EFI System Partition (ESP) и, таким образом, перехватывать процесс загрузки.
По данным Binarly, вредоносный файл “logofail.bmp” содержит шелл-код, внедренный в конец изображения, а использование отрицательного значения высоты (0xfffffd00) приводит к уязвимости записи вне границ при парсинге. Такой механизм позволяет хакерам подменять списки сертификатов, авторизуя вредоносный загрузчик “bootkit.efi”.
Bootkitty может затронуть устройства, не обновленные для защиты от LogoFAIL. Наиболее уязвимыми исследователи называют устройства Lenovo, в прошивке которых используются модули Insyde. Однако ESET предполагает, что разработчик тестирует вредоносное ПО на собственном оборудовании, и в будущем возможна поддержка более широкого спектра устройств.
Среди уязвимых моделей отмечены Lenovo IdeaPad Pro 5-16IRH8, Lenovo Legion 7-16IAX7 и Lenovo Yoga 9-14IRP8. Несмотря на то, что прошло более года с момента выявления LogoFAIL, многие производители не выпустили исправления.
Пользователям устройств без доступных обновлений рекомендуется ограничить физический доступ, включить Secure Boot, защитить настройки UEFI/BIOS паролем, отключить загрузку с внешних носителей и загружать обновления прошивки исключительно с официальных сайтов производителей.