Binarly

继上周Bootkitty现身后，研究人员又发现，去年发现的一组UEFI固件漏洞，已有人发展出滥用手法来植入Bootkitty这第一只可在Linux运行的UEFI Bootkit程序。

去年12月，资安厂商Binarly研究人员发现到的漏洞为LogoFAIL，编号CVE-2023-40238。它是位于旧版Insyde InsydeH2O UEFI BIOS中的图片解析器BmpDecoderDxe的图片解析漏洞，影响5.2（05.28.47以前）、5.3（05.37.47以前）、5.4（05.45.47以前）、5.5（05.53.47以前）和5.6（05.60.47以前）版本。攻击者可发送恶意BMP logo，在开机过程影像解析过程中将数据拷贝到特定位址，滥用LogoFAIL漏洞最终会使基本的UEFI端点安全措施失效，使攻击者得以对受影响的系统深度控制。BIOS厂商系微（Insyde）已经在去年12月发布更新版，可解决该漏洞。

今年Binarly又发现，有人发展出滥用LogoFAIL漏洞植入恶意程序的行为。他们发现一个名为16MB大小的logofail.bmp图档，当发送给受害Linux机器时，能在图片解析过程中注入shellcode，而在设备UEFI固件程序的MokList变量中注入恶意凭证，借此允许一个GRUB配置档在机器上运行。该档内含后门程序的Linux内核图档，成功绕过安全开机（Secure Boot）防护，以便将后门程序植入受害系统。结果就是让Bootkitty通过验证，植入Linux设备。

研究显示，本攻击手法是针对特定硬件配置，受影响BIOS模块的电脑品牌涵括联想等数家厂商。研究人员说明，系微一年前已发布更新版，没有安装更新版的设备就可能曝露于风险。

必须说明的是，ESET研究人员发现的Bootkitty虽然可能只是概念性验证（PoC）程序，而非已用于攻击的恶意程序，但已显示，Linux设备不再能自外于UEFI恶意开机程序滥用风险。