这是如何保护您的电脑免受LogoFAIL攻击的方法
如何有效保护您的电脑免受LogoFAIL攻击的方法
固件供应链安全平台公司Binarly REsearch团队发现了一系列安全漏洞,称之为LogoFAIL,隐藏在我们用于启动几乎所有现代计算设备的统一可扩展固件接口(UEFI)中。无论是Linux还是Windows,无论是ARM还是x86,它们都是易受攻击的。
这个威胁已经潜伏在系统中多年,甚至几十年。让人特别担忧的是,受影响的消费者和企业级计算机范围广泛。LogoFAIL的核心是利用在UEFI仍在运行时,在设备屏幕上显示的徽标。
这种攻击发生在引导过程的最早阶段,因此绕过UEFI的防御措施,如Microsoft Secure Boot和Intel Secure Boot,这些措施旨在阻止引导包攻击。这种技术非常不好。
具体而言,攻击利用了UEFI图像解析器。有可渲染引导图像徽标的程序,所以你可以看到它们。这个软件被主要的独立BIOS供应商(IBVs)如AMI、Insyde和Phoenix纳入UEFI中。
UEFI固件可以包含对多种图像格式的解析器,包括BMP、GIF、JPEG、PCX和TGA格式。Binarly团队总共发现了29个安全问题,其中有15个可用于任意代码执行。
还有:苹果iPhone和iPad的最佳VPN服务(是的,您需要使用一个)
简单来说,这些UEFI图像解析器维护不良,且存在严重漏洞。攻击者可以用特制的、与合法徽标相似的图像替换它们,以利用这些漏洞。这种技术允许在引导过程的高度敏感部分-驱动程序执行环境(DXE)阶段执行恶意代码。这次攻击发生在操作系统启动之前。
正如Binarly研究人员所说:“一旦在DXE阶段实现了任意代码执行,平台安全就结束了。”此后,攻击者就可以“完全控制目标设备的内存和磁盘,包括即将启动的操作系统。”
所以,一旦在DXE阶段实现了任意代码执行,攻击者就完全控制了目标设备的内存和磁盘,包括即将启动的操作系统。这种能力使得LogoFAIL可以在主操作系统启动之前将第二阶段的恶意载荷投放到硬盘上。这种访问级别使得几乎不可能使用当前的防御机制检测或删除感染。
这些漏洞在伦敦的黑帽安全会议上被公开披露,受影响的各方正在发布公告,披露哪些产品有漏洞,以及如何获取安全补丁。LogoFAIL的广泛影响是显而易见的,它影响了几乎所有x64和ARM CPU生态系统,包括UEFI供应商、设备制造商如Lenovo和HP,以及CPU制造商如Intel、AMD和ARM CPU设计师。
还有:2023年最佳安全密钥
但为什么这个攻击如此严重呢?我的意思是,谁想要改变他们计算机的启动徽标?根据安全专家Bruce Schneier的说法,答案是公司:“企业买家希望能够展示自己的徽标。因此,这个能力必须存在于BIOS中,这意味着漏洞没有得到任何操作系统的防护。而BIOS制造商可能只是随机从互联网上抓取了一些图形库,然后就毫不考虑了。”
现在来听些好消息
不使用UEFI的MacBook、智能手机和其他设备都不受影响。即使是使用UEFI引导的英特尔苹果MacBook也无法受到LogoFAIL的攻击。这是因为苹果已将其标志性的图标文件硬编码到UEFI中,无法用恶意文件替换。
大多数戴尔电脑也不容易受到攻击。这是因为该公司使用英特尔Boot Guard技术,使替换图标变得不可能。此外,戴尔设备通常不允许用户更改图标。
如果你使用的是易受攻击的设备,首先确保别人无法进入设备。这意味着你需要升级操作系统和程序以防止已知攻击。如果你使用的是Windows系统,请更新你的杀毒软件。这些程序可以阻止LogoFAIL,但也可以阻止恶意软件感染你的系统。
关键是要防止攻击者访问EFI系统分区(ESP)。这个隐藏的部分是存储标志性图标的地方。如果攻击者无法访问ESP,就无法对其进行攻击。
真正的解决方法是升级你的固件。AMI、英特尔、Insyde、Phoenix和联想都已经发布了修复方案。然而,修复方案不会很快到来。正如英特尔所说:“BIOS更新将于2023年第四季度至2024年第一季度发布。”当然,我一直希望在寒假期间花时间更新和重启所有的设备,你也一样。
与此同时,尽量加强系统的安全性,以防止LogoFAIL攻击者得到立足点。一旦他们进入,几乎不可能将其清除。
