LogoFAIL: Zranitelnost v Linuxových zařízeních odhaluje vážná rizika
Zdroj: Shutterstock
Výzkumníci objevili škodlivý kód, který využívá známou zranitelnost firmware zvanou LogoFAIL. Tento kód dokáže narušit nejranější fázi bootovacího procesu Linuxových zařízení a nainstalovat škodlivý nástroj Bootkitty, čímž zcela obchází zabezpečení známé jako Secure Boot. Zranitelnost byla objevena před rokem, ale až nyní se potvrdilo, že ji útočníci začali aktivně využívat.
Co je LogoFAIL?
LogoFAIL označuje skupinu zranitelností souvisejících s obrazovým zpracováním ve firmwaru UEFI, který je odpovědný za spouštění moderních zařízení. Tato zranitelnost umožňuje útočníkům obejít Secure Boot, což je klíčová obrana proti spouštění neautorizovaného kódu. Exploit funguje tak, že do firmware vkládá škodlivý kód ukrytý v bitmapovém obrázku, který se zobrazuje během startu zařízení. Tento kód následně nainstaluje kryptografický klíč, jenž podepisuje škodlivý software, což umožňuje jeho spuštění bez povšimnutí.
Jak funguje útok?
- Zneužití zranitelnosti UEFI: Útočníci vloží škodlivý kód do obrazu, který firmware zpracovává při startu.
- Obejití Secure Boot: Nainstalovaný klíč označí škodlivé soubory jako důvěryhodné, což umožní spustit upravený bootovací nástroj GRUB a upravené jádro Linuxu.
- Instalace backdooru: Upravené jádro obsahuje zadní vrátka (backdoor), která útočníkům poskytují přístup k systému ještě před načtením dalších bezpečnostních vrstev.
Proč je tento objev klíčový?
Doposud byly exploity LogoFAIL považovány za teoretické, přičemž dostupné důkazy o jejich zneužití nebyly k dispozici. Objev kódu zveřejněného na veřejně přístupném serveru však ukazuje, že útočníci mohou tuto zranitelnost prakticky využít. Společnost Binarly, která zranitelnost původně odhalila, varuje, že jde o velmi sofistikovaný útok.
„LogoFAIL byl původně jen koncept. Dnešní objev ale dokazuje, že útočníci mohou zneužít obtížně opravitelnou slabinu ekosystému,“ uvedl Alex Matrosov, zakladatel Binarly.
Která zařízení jsou ohrožena?
Exploity LogoFAIL mohou zasáhnout zařízení s firmwarem UEFI od společnosti Insyde. Mezi postižené patří některé modely značek Acer, HP, Fujitsu a Lenovo, pokud běží na Linuxu a firmware nebyl aktualizován. Společnost Insyde sice vydala opravu, ale mnoho zařízení zůstává neaktualizovaných a tudíž zranitelných.
I když nejsou důkazy, že by byl exploit momentálně masově nasazen, jeho profesionální úroveň naznačuje, že se může stát hrozbou v blízké budoucnosti. Kód například obsahuje vyměněný obrázek zobrazovaný během útoku – místo firemního loga se objevuje roztomilá kočka. To naznačuje, že kód může být spíše demonstrační, pravděpodobně určený k prodeji.
Zdroje:
Lukáš "Francesco" Čihák
Diskuse ke článku LogoFAIL: Zranitelnost v Linuxových zařízeních odhaluje vážná rizika
