Bootkitty Malware Uefi Guna Logofail Untuk Jangkiti Sistem Linux

---

Baru-baru ini, bootkit Linux yang dikenali sebagai ‘Bootkitty’ telah dikesan, yang memanfaatkan kelemahan LogoFAIL (CVE-2023-40238) untuk menyerang komputer yang menggunakan firmware yang terdedah.
Firma keselamatan firmware, Binarly, mendedahkan kelemahan ini pada November 2023 dan memberi amaran tentang potensi serangan sebenar yang boleh berlaku.
Hubungan antara Bootkitty dan LogoFAIL Bootkitty ditemui oleh ESET, yang baru saja menerbitkan laporan mengenai penemuan ini, menyatakan bahawa ia adalah bootkit UEFI pertama yang khusus mensasarkan Linux. Namun, setakat ini, ia masih dalam pembangunan dan hanya berfungsi pada versi tertentu Ubuntu, jadi ia belum menjadi ancaman besar.
LogoFAIL adalah sekumpulan kelemahan dalam kod pemprosesan imej untuk firmware UEFI yang digunakan oleh pelbagai vendor perkakasan. Kelemahan ini boleh dieksploitasi oleh imej atau logo jahat yang diletakkan pada EFI System Partition (ESP).
“Apabila imej ini diproses semasa boot, kelemahan ini boleh dicetuskan dan payload yang dikawal oleh penyerang boleh dilaksanakan secara rawak untuk merampas aliran eksekusi dan mengatasi ciri keselamatan seperti Secure Boot, termasuk mekanisme Verified Boot yang berasaskan perkakasan,” jelas Binarly sebelum ini.
Dalam laporan terbaru Binarly, Bootkitty menyembunyikan shellcode dalam fail BMP (‘logofail.bmp’ dan ‘logofail_fake.bmp’) untuk menipu perlindungan Secure Boot dengan menyuntik sijil yang salah ke dalam varian MokList.
Fail imej jahat
Sumber: Binarly Fail ‘logofail.bmp’ menyembunyikan shellcode di hujungnya, dan nilai tinggi negatif (0xfffffd00) mencetuskan kelemahan tulis luar batas semasa pemprosesan.
MokList yang sah diubah dengan sijil jahat, yang membenarkan bootloader jahat (‘bootkit.efi’) untuk diaktifkan.
Setelah aliran eksekusi dialihkan kepada shellcode, Bootkitty akan mengembalikan lokasi memori yang ditindih dalam fungsi yang terdedah (RLE8ToBlt) dengan arahan asal, menghapuskan tanda-tanda pencerobohan yang jelas.
Tinjauan serangan Bootkitty
Sumber: Binarly Impak pada perkakasan tertentu Menurut Binarly, Bootkitty boleh memberi kesan kepada mana-mana peranti yang belum dipatch untuk LogoFAIL, tetapi shellcode semasanya dijangka memerlukan kod tertentu yang terdapat dalam modul firmware bagi komputer Acer, HP, Fujitsu, dan Lenovo.
Analisis pengkaji mengenai fail bootkit.efi menunjukkan bahawa peranti Lenovo yang berasaskan Insyde adalah yang paling terdedah, memandangkan Bootkitty merujuk kepada nama dan laluan variabel spesifik yang digunakan oleh jenama ini. Namun, ini mungkin menunjukkan bahawa pembangun hanya sedang menguji bootkit pada komputer riba mereka sendiri dan akan menambah sokongan untuk peranti lain kemudian.
Antara peranti popular yang firmware terbarunya masih terdedah kepada serangan LogoFAIL termasuk IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8, dan Lenovo Yoga 9-14IRP8.
“Sudah lebih setahun sejak kami mula memberi amaran tentang LogoFAIL, tetapi banyak pihak yang terjejas masih terdedah kepada mana-mana varian kelemahan LogoFAIL,” amaran Binarly.
“Bootkitty adalah pengingat yang jelas tentang akibat apabila kelemahan ini tidak ditangani dengan betul atau apabila pembetulan tidak dilaksanakan dengan baik pada peranti di lapangan.”
Jika anda menggunakan peranti yang tiada kemas kini keselamatan untuk mengurangkan risiko LogoFAIL, hadkan akses fizikal, aktifkan Secure Boot, lindungi tetapan UEFI/BIOS dengan kata laluan, matikan boot dari media luar, dan hanya muat turun kemas kini firmware dari laman web rasmi OEM.


Source link
The post BootKitty Malware UEFI Guna LogoFAIL Untuk Jangkiti Sistem Linux appeared first on Edisi Viral Plus.

---