Binarly

繼上週Bootkitty現身後，研究人員又發現，去年發現的一組UEFI韌體漏洞，已有人發展出濫用手法來植入Bootkitty這第一隻可在Linux執行的UEFI Bootkit程式。

去年12月，資安廠商Binarly研究人員發現到的漏洞為LogoFAIL，編號CVE-2023-40238。它是位於舊版Insyde InsydeH2O UEFI BIOS中的圖片解析器BmpDecoderDxe的圖片解析漏洞，影響5.2（05.28.47以前）、5.3（05.37.47以前）、5.4（05.45.47以前）、5.5（05.53.47以前）和5.6（05.60.47以前）版本。攻擊者可傳送惡意BMP logo，在開機過程影像解析過程中將資料複製到特定位址，濫用LogoFAIL漏洞最終會使基本的UEFI端點安全措施失效，使攻擊者得以對受影響的系統深度控制。BIOS廠商系微（Insyde）已經在去年12月釋出更新版，可解決該漏洞。

今年Binarly又發現，有人發展出濫用LogoFAIL漏洞植入惡意程式的行為。他們發現一個名為16MB大小的logofail.bmp圖檔，當傳送給受害Linux機器時，能在圖片解析過程中注入shellcode，而在裝置UEFI韌體程式的MokList變量中注入惡意憑證，藉此允許一個GRUB配置檔在機器上執行。該檔內含後門程式的Linux核心圖檔，成功繞過安全開機（Secure Boot）防護，以便將後門程式植入受害系統。結果就是讓Bootkitty通過驗證，植入Linux裝置。

研究顯示，本攻擊手法是針對特定硬體配置，受影響BIOS模組的電腦品牌涵括聯想等數家廠商。研究人員說明，系微一年前已釋出更新版，沒有安裝更新版的裝置就可能曝露於風險。

必須說明的是，ESET研究人員發現的Bootkitty雖然可能只是概念性驗證（PoC）程式，而非已用於攻擊的惡意程式，但已顯示，Linux裝置不再能自外於UEFI惡意開機程式濫用風險。