Комп’ютери на базі Linux атакує небезпечний експлойт LogoFAIL

Дослідники компанії Binarly виявили зловмисний код, який змінює процес завантаження пристроїв Linux на ранній стадії, використовуючи вразливість мікропрограми UEFI. Критична вразливість є однією з групи під кодовою назвою LogoFAIL, інформує ArsTechnica. 

Від експлойтів LogoFAIL не захищає навіть галузевий стандарт захисту, відомий як Secure Boot. У підсумку це призводить до запуску зловмисного програмного забезпечення на початку процесу завантаження Linux. 

Поки немає ознак того, що експлойт наніс кому-небудь велику шкоду, але він може становити загрозу найближчими тижнями чи місяцями. Кінцевою метою експлойту, за інформацією Binarly, є встановлення Bootkitty — буткіта для Linux. Для цього експлойт вводить код в UEFI — мікропрограму, відповідальну за завантаження сучасних пристроїв під керуванням Windows або Linux. Він робить це, використовуючи одну з приблизно дюжини критичних помилок аналізу зображень, які складають групу LogoFAIL.

Зазвичай Secure Boot не дозволяє UEFI запускати файли без цифрового підпису, який підтверджує, що виробник пристрою довіряє цим файлам. Експлойт обходить цей захист, вставляючи код оболонки, прихований у шкідливому растровому зображенні, яке відображається UEFI під час процесу завантаження. Далі введений код встановлює криптографічний ключ, який запускається на наступних етапах процесу завантаження Linux.

Безшумне встановлення цього ключа спонукає UEFI розглядати шкідливий код в образі ядра як надійний компонент. Це дозволяє обходити захист Secure Boot. У підсумку на комп’ютері встановлюється бекдор, який проникає в ядро ​​Linux.

Машини, вразливі до експлойту, включають деякі моделі Acer, HP, Fujitsu та Lenovo, які постачаються з UEFI, розробленим Insyde, і працюють під управлінням Linux. Докази, знайдені в коді експлойта, вказують на те, що експлойт може бути налаштований для певних апаратних конфігурацій таких машин. Insyde вже випустила патч, який перешкоджає роботі експлойта.