严重的“LogoFAIL”错误为数百万台电脑提供安全启动绕过

来自不同供应商（包括英特尔、宏碁和联想）的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。

研究人员发现了“LogoFAIL”，这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。

利用这些漏洞会使基本的端点安全措施失效，并使攻击者能够对受影响的系统进行深度控制。

根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告，这些缺陷源自启动过程中的图像解析库，影响了 x86 和基于 ARM 设备的所有主要设备制造商。

研究人员警告说，LogoFAIL 的广泛影响加剧了其严重性，并指出它影响整个生态系统，而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的，预计供应商补丁计划于 12 月 6 日发布，与题为“ LogoFAIL：系统期间图像解析的安全影响”的黑帽演讲同时进行。

使用LogoFAIL劫持启动过程

Binarly 研究人员发现，通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像，威胁参与者可以在启动期间执行恶意代码，从而劫持启动过程。

这种利用绕过了安全启动和英特尔启动防护等关键安全措施，有助于插入在操作系统级别下运行的持久固件启动套件。

Binarly 首席执行官兼创始人 Alex Matrosov 解释道：“由于攻击者正在将特权代码执行权写入固件，因此它在设计上绕过了安全边界，就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展，并且在验证固件后，它只是在系统启动流程中进一步启动。”

他说，Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。

“有一天，它在显示启动徽标后突然开始重新启动，”他说。“我们意识到问题的根本原因是原始标志的改变，这导致了更深入的调查。”

他补充道，“在这种情况下，我们正在处理修改后的启动徽标图像的持续利用，在运行时触发有效负载交付，其中所有完整性和安全性测量都在加载固件组件之前进行。”

这并不是第一次发现安全启动绕过；2022 年 11 月，五款 Acer 笔记本电脑型号中发现固件缺陷，可用于禁用安全启动并允许恶意攻击者加载恶意软件；BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而，Matrosov 表示，LogoFAIL 与之前的威胁不同，因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。

事实上，他说 LogoFAIL 是一种纯数据攻击，当恶意输入来自固件映像或在系统启动过程中从 ESP 分区读取徽标时就会发生-因此很难检测到。

“这种使用 ESP 攻击向量的方法在固件本身内部留下了零证据，因为该徽标来自外部来源，”他解释道。

大多数 PC 生态系统都很脆弱

配备来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的固件的设备很容易受到影响，这表明不同硬件类型和架构之间存在潜在影响。Matrosov 表示，这三者合计覆盖了 BIOS 生态系统的 95%。

事实上，Matrosov 表示，LogoFAIL 影响“全球大多数设备”，包括来自不同供应商的消费级和企业级 PC，包括宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和“许多其他供应商”。

“受影响设备的确切列表仍在确定中，但值得注意的是，所有三个主要 IBV（AMI、Insyde 和 Phoenix）都受到与图像解析器相关的多个安全问题的影响，这些安全问题是作为固件的一部分提供的”，Binarly 报告警告说。“我们估计 LogoFAIL 会以某种方式影响这些供应商提供的几乎所有设备。”

Phoenix Technologies 本周发布了一份早期安全通知（现已删除，但可作为缓存使用，直到 12 月 6 日恢复），详细说明该错误 (CVE-2023-5058) 存在于低于 1.0 的所有版本中.5 的 Phoenix SecureCore Technology 4，这是一种 BIOS 固件，可为各种设备提供高级安全功能。

通知称，“该缺陷存在于系统启动期间处理用户提供的启动屏幕中，可以被对设备进行物理访问的攻击者利用”，并指出有更新版本可用。“通过提供恶意启动屏幕，攻击者可以引发拒绝服务攻击或在 UEFI DXE 阶段执行任意代码，绕过安全启动机制并损害系统完整性。”

LogoFAIL 还被 Insyde 跟踪为 CVE-2023-40238，并被 AMI 跟踪为 CVE-2023-39539 和 CVE-2023-39538。

Matrosov 表示，该公司正在与多家设备供应商积极合作，协调整个领域的披露和缓解工作。

固件更新是最大限度降低风险的关键

为了最大限度地降低固件风险，用户应及时了解制造商的建议并及时应用固件更新，因为它们通常可以解决关键的安全缺陷。

此外，审查供应商也是必须的。Matrosov 补充道：“对您每天依赖的个人设备或跨企业基础设施的设备供应商要挑剔。” “不要盲目信任供应商，而是验证供应商的安全承诺，并找出设备库存及其他方面的差距。”