據(jù)BleepingComputer消息，由韓國(guó)Best of the Best （BoB） 培訓(xùn)計(jì)劃的網(wǎng)絡(luò)安全學(xué)生利用 LogoFAIL 漏洞創(chuàng)建了新型惡意軟件Bootkitty，能夠攻擊Linux系統(tǒng)設(shè)備。

固件安全公司Binarly 于2023 年 11 月發(fā)現(xiàn)了 LogoFAIL，并警告其可能被用于實(shí)際攻擊。而安全公司ESET表示，Bootkitty 是第一個(gè)專門針對(duì) Linux系統(tǒng)的惡意軟件。

LogoFAIL 是圖像解析代碼中的一組缺陷，源自各種硬件供應(yīng)商使用的 UEFI 固件映像，可被植入 EFI 系統(tǒng)分區(qū) （ESP） 上的惡意圖像或徽標(biāo)利用。Binarly指出，當(dāng)這些鏡像在啟動(dòng)過(guò)程中被解析時(shí)，可以觸發(fā)漏洞，并且可以任意執(zhí)行攻擊者控制的有效負(fù)載來(lái)劫持執(zhí)行流程并繞過(guò)安全啟動(dòng)，包括基于硬件的驗(yàn)證啟動(dòng)機(jī)制。

根據(jù) Binarly 的最新研究，Bootkitty 在 BMP 文件（"logofail.bmp "和 "logofail_fake.bmp"）中嵌入了 shellcode，通過(guò)向 MokList 變體注入流氓認(rèn)證來(lái)繞過(guò)安全啟動(dòng)保護(hù)。

惡意圖片文件

合法的 MokList 被替換為惡意證書(shū)，從而有效地授權(quán)了惡意引導(dǎo)程序（'bootkit.efi'）。在將執(zhí)行轉(zhuǎn)移到 shellcode 之后，Bootkitty 會(huì)用原始指令恢復(fù)漏洞函數(shù) (RLE8ToBlt) 中被覆蓋的內(nèi)存位置，因此任何明顯的篡改痕跡都會(huì)被清除。

攻擊鏈概述

對(duì)特定硬件的影響

Bootkitty 可能會(huì)影響任何未對(duì) LogoFAIL 進(jìn)行修補(bǔ)的設(shè)備，但其當(dāng)前的shellcode限于宏碁、惠普、富士通和聯(lián)想電腦上固件模塊使用的特定代碼。

研究人員對(duì) bootkit.efi 文件的分析確定，基于 Insyde 的聯(lián)想設(shè)備最容易受到影響，因?yàn)?Bootkitty 引用了該品牌使用的特定變量名稱和路徑。但是，這可能表明開(kāi)發(fā)人員只是在自己的筆記本電腦上測(cè)試 bootkit，稍后將添加對(duì)更廣泛設(shè)備的支持。

一些最新固件仍然容易受到 LogoFAIL 漏洞的影響，包括聯(lián)想IdeaPad Pro 5-16IRH8、IdeaPad 1-15IRU7、Legion 7-16IAX7、Legion Pro 5-16IRX8 和Yoga 9-14IRP8。

雖然該惡意軟件是出于安全目的而研發(fā)，但Binarly警告稱，自從首次敲響 LogoFAIL 警報(bào)以來(lái)已經(jīng)一年多，仍有許多廠商產(chǎn)品仍然會(huì)受到 LogoFAIL 漏洞的一種或多種變體的影響。對(duì)此，建議受影響的用戶限制物理訪問(wèn)、啟用安全啟動(dòng)、密碼保護(hù) UEFI/BIOS 設(shè)置、禁用從外部介質(zhì)啟動(dòng)，并且只從官方網(wǎng)站下載固件更新。