Máy tính chạy Windows hoặc Linux đang bị đe dọa bởi một loại tấn công firmware mới có tên Logofail. Loại tấn công này vô cùng nguy hiểm vì nó có thể ghi đè lên logo khởi động (POST) của hệ thống, cho phép kẻ tấn công cài đặt bootkit và xâm nhập sâu vào hệ thống.
Logofail có thể tấn công bất kỳ máy tính nào sử dụng UEFI từ các nhà cung cấp BIOS độc lập (IBV) như AMI, Insyde và Phoenix. Các nhà cung cấp này cần phải phát hành bản vá UEFI cho các công ty sản xuất bo mạch chủ.
Logofail lợi dụng lỗ hổng trong thư viện xử lý hình ảnh của UEFI để ghi đè lên logo khởi động.
Exploit được thực thi trong giai đoạn Driver Execution Environment (DXE) sau khi POST thành công.
Logofail thay thế logo khởi động UEFI bằng exploit, sau đó exploit được tải trong giai đoạn DXE.
Exploit có thể hoạt động trên mọi nền tảng sử dụng Intel, AMD hoặc ARM với bất kỳ hệ điều hành Windows hoặc Linux nào.
Nó ảnh hưởng đến cả hệ thống tự build và hệ thống được bán sẵn.
Exploit không lưu trữ trên ổ lưu trữ, vì vậy không thể loại bỏ ngay cả khi format hệ điều hành.
Exploit có thể cài đặt bootkit mà không bị bất kỳ lớp bảo mật nào ngăn chặn.
Hệ thống có logo UEFI được bảo vệ bởi Image Boot Guard (ví dụ: Dell).
Kiểm tra với nhà sản xuất OEM/bo mạch chủ để xem hệ thống của bạn có bị ảnh hưởng hay không.
Logofail là một lỗ hổng nghiêm trọng cần được vá càng sớm càng tốt. Nếu bạn nghi ngờ hệ thống của mình bị ảnh hưởng, hãy liên hệ với nhà sản xuất OEM/bo mạch chủ để được hướng dẫn.
Hương Trang
© newsliver.com. All Rights Reserved.
