Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Взлом через логотип: UEFI-буткит Bootkitty атакует Lenovo

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-20-2025, 05:30 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Компания Binarly подтвердила, что недавно обнаруженный UEFI-буткит для Linux под названием «Bootkitty» использует уязвимость LogoFAIL для атаки на компьютеры с уязвимой прошивкой. Уязвимость CVE-2023-40238, впервые выявленная в ноябре 2023 года, связана с обработкой изображений в прошивке и позволяет злоумышленникам обходить защитные механизмы, включая Secure Boot.
ESET, которая первоначально задокументировала буткит, уточнила, что Bootkitty разработан студентами программы обучения кибербезопасности Best of the Best (BoB) в Корее. Проект направлен на привлечение внимания к рискам уязвимостей в UEFI и стимулирование мер по их предотвращению. Однако разработчики признали, что некоторые образцы буткита были раскрыты до планируемой презентации на конференции.
LogoFAIL представляет собой набор уязвимостей, обнаруженных в коде обработки изображений прошивок UEFI. Ошибки позволяют атакующему внедрять вредоносные изображения или логотипы в EFI System Partition (ESP) и, таким образом, перехватывать процесс загрузки.
По https://www.binarly.io/blog/logofail...tkit-for-linuxBinarly, вредоносный файл «logofail.bmp» содержит шелл-код, внедренный в конец изображения, а использование отрицательного значения высоты (0xfffffd00) приводит к уязвимости записи вне границ при парсинге. Такой механизм позволяет хакерам подменять списки сертификатов, авторизуя вредоносный загрузчик «bootkit.efi».
Bootkitty может затронуть устройства, не обновленные для защиты от LogoFAIL. Наиболее уязвимыми исследователи называют устройства Lenovo, в прошивке которых используются модули Insyde. Однако ESET предполагает, что разработчик тестирует вредоносное ПО на собственном оборудовании, и в будущем возможна поддержка более широкого спектра устройств.
Среди уязвимых моделей отмечены Lenovo IdeaPad Pro 5-16IRH8, Lenovo Legion 7-16IAX7 и Lenovo Yoga 9-14IRP8. Несмотря на то, что прошло более года с момента выявления LogoFAIL, многие производители не выпустили исправления.
Пользователям устройств без доступных обновлений рекомендуется ограничить физический доступ, включить Secure Boot, защитить настройки UEFI/BIOS паролем, отключить загрузку с внешних носителей и загружать обновления прошивки исключительно с официальных сайтов производителей.
https://www.securitylab.ru/news/554491.php
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 03:35 PM.

Contact Us - Carder.life - Archive - Top