Suuri osa Windows- ja Linux-tietokoneista on alttiina hyökkäykselle – toimii UEFI-alkukuvan kautta
Kuva: @ Pixabay
Hyökkäys iskee tietokoneisiin UEFI-laiteohjelmiston kautta. Haavoittuvuudet löysi lähes vuoden työn jälkeen tietoturvayritys Binarly.
Tietokoneen käynnistyksen yhteydessä käyttäjää tervehtii usein UEFI-laiteohjelmistosta peräisin oleva kuva, jossa voi olla esimerkiksi emolevy- tai tietokonevalmistajan teksti ja logo. Nyt on käynyt ilmi, että käynnistyskuvat ovat mahdollistaneet jo vähintään useiden vuosien ajan kyberhyökkäyksiä tietokoneisiin.
Hyökkäyksiin liitettyjä haavoittuvuuksia on olemassa useita, ja niille on annettu yhteinen nimi LogoFAIL, viitaten alkukuvaan. Alttiita ovat useat Windows- ja Linux-tietokoneet, jotka käyttävät joko x64- tai ARM-alustaa ja AMIn, Phoenixin tai Insyden UEFIa.
UEFI-logot näytetään laitteen näytöllä käynnistysprosessin alkuvaiheessa, kun UEFI on vielä käynnissä. Hyökkäys hyödyntää ainakin tusinaa kriittistä haavoittuvuutta, jotka ovat tähän asti jääneet huomaamatta.
LogoFAIL-hyökkäys hyödyntää muokattuja logokuvia, jotka mahdollistavat haavoittuvuuksien hyödyntämisen. Sen jälkeen hyökkääjän on mahdollista ajaa haitallista koodia kohdekoneessa, käynnistysprosessin herkimmässä vaiheessa, joka tunnetaan nimellä DXE (Driver Execution Environment).
Useissa tapauksissa LogoFAIL-hyökkäyksen voi tehdä etänä, jos tietokone on saatu saastutettua aiemmin. Hyökkääjät käyttävät lisäksi tekniikoita, joita ei voi havaita perinteisillä tietoturvaohjelmistoilla. Myöskään Secure Boot tai vastaavat ominaisuudet eivät pysty estämään hyökkäystä.
Yritykset, joiden tuotteet ovat LogoFAIL-haavoittuvuuksille alttiita, tulevat julkaisemaan tiedotteita asian tiimoilta. Niistä tulee selviämään, mitkä tuotteet ovat haavoittuvia, ja mistä niihin voi hankkia korjaukset.
