Lỗ hổng LogoFAIL: Mối đe dọa từ bootkit Linux trên các thiết bị UEFI
Các nhà nghiên cứu đã phát hiện mã độc khai thác lỗ hổng firmware cũ, LogoFAIL, để tấn công vào quá trình khởi động sớm nhất của các thiết bị Linux. Lỗ hổng này cho phép kẻ tấn công vượt qua cơ chế Secure Boot và thực thi mã độc từ rất sớm trong quá trình khởi động.
Mặc dù LogoFAIL đã được phát hiện từ năm trước, đây là lần đầu tiên mã khai thác được tìm thấy trên một máy chủ web công cộng. Điều này cho thấy lỗ hổng không chỉ là lý thuyết mà có thể bị khai thác thực tế, đặt ra mối đe dọa nghiêm trọng trong tương lai gần.
Mã khai thác này được thiết kế để cài đặt Bootkitty, một bootkit Linux độc hại. Nó hoạt động bằng cách chèn mã vào UEFI, firmware chịu trách nhiệm khởi động các thiết bị hiện đại chạy Windows hoặc Linux. Việc chèn mã được thực hiện bằng cách khai thác một trong số các lỗi phân tích hình ảnh nghiêm trọng thuộc nhóm LogoFAIL.
Thông thường, Secure Boot ngăn UEFI chạy các tệp không được ký số bởi nhà sản xuất thiết bị. Tuy nhiên, mã khai thác này vượt qua Secure Boot bằng cách chèn shell code vào một hình ảnh bitmap độc hại được UEFI hiển thị trong quá trình khởi động. Shell code này sau đó cài đặt một khóa mật mã để ký số cho tệp GRUB độc hại và một image kernel Linux đã bị backdoor, cho phép chúng chạy trong các giai đoạn khởi động sau trên máy Linux.
Việc cài đặt khóa này khiến UEFI coi GRUB và kernel image độc hại là các thành phần đáng tin cậy, qua đó vô hiệu hóa cơ chế bảo mật Secure Boot. Kết quả cuối cùng là một backdoor được cài đặt vào kernel Linux trước khi bất kỳ cơ chế phòng thủ nào khác được tải.
Các máy tính dễ bị tấn công bao gồm một số model của Acer, HP, Fujitsu và Lenovo sử dụng UEFI do Insyde phát triển và chạy Linux. Insyde đã phát hành bản vá cho lỗ hổng này, và người dùng nên cập nhật ngay lập tức để bảo vệ thiết bị của mình. Các thiết bị sử dụng UEFI không phải của Insyde không bị ảnh hưởng.
Một điểm đáng chú ý là hình ảnh được hiển thị trong quá trình lây nhiễm. Thông thường, LogoFAIL khai thác lỗ hổng trong các thành phần phân tích hình ảnh của UEFI, thường hiển thị logo của nhà sản xuất thiết bị. Bằng cách thay thế hình ảnh gốc bằng một hình ảnh giống hệt chứa mã khai thác, kẻ tấn công có thể che giấu hoạt động độc hại. Tuy nhiên, mã khai thác được phát hiện lại hiển thị hình ảnh một chú mèo, cho thấy đây có thể chỉ là bản demo hoặc showcase để tìm kiếm người mua tiềm năng.
Việc phát hiện mã khai thác LogoFAIL trên máy chủ công cộng là một lời cảnh tỉnh về tầm quan trọng của việc cập nhật firmware và vá lỗi bảo mật. Người dùng cần chủ động cập nhật các bản vá mới nhất từ nhà sản xuất để bảo vệ thiết bị khỏi các mối đe dọa tiềm ẩn.