“Hàng trăm thiết bị tiêu dùng và doanh nghiệp từ nhiều nhà cung cấp khác nhau, bao gồm Intel, Acer và Lenovo có khả năng bị tấn công”, Binarly đưa ra cảnh báo. Lỗ hổng LogoFAIL lần đầu tiên được tiết lộ trong một bài đăng vào ngày 29/11/2023 và các chi tiết kỹ thuật đã được công bố vào ngày 6/12 sau khi Binarly trình bày những phát hiện của mình tại sự kiện Black Hat Europe 2023.
LogoFAIL là một tập hợp các lỗ hổng firmware trong thư viện phân tích hình ảnh được sử dụng để tải logo trong quá trình khởi động thiết bị. Việc khai thác LogoFAIL yêu cầu kẻ tấn công phải có quyền truy cập vào phân vùng hệ thống EFI (ESP) nơi lưu trữ hình ảnh logo, tức là tin tặc đã có được quyền truy cập từ xa bằng cách khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.
Việc thay đổi hoặc thay thế hình ảnh logo bằng payload độc hại sẽ khiến phần mềm độc hại được lây nhiễm và thực thi tùy ý khi hình ảnh được phân tích cú pháp trong quá trình khởi động. Quá trình phân tích hình ảnh này diễn ra khá nhanh để các cơ chế bảo mật như Secure Boot và Intel Boot Guard có thể phát hiện được mã độc.
Các nhà nghiên cứu của Binarly cho biết: “Vectơ tấn công này có thể mang lại lợi thế cho kẻ tấn công trong việc vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit (loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút) tồn tại lâu dài trong phân vùng ESP hoặc firmware có hình ảnh logo đã được sửa đổi”.
Bề mặt tấn công của LogoFAIL là rất lớn do ba nhà cung cấp BIOS độc lập là AMI, Insyde và Phoenix sử dụng rộng rãi các trình phân tích cú pháp hình ảnh bị ảnh hưởng. Các nhà cung cấp này cung cấp firmware hệ thống UEFI cho hàng chục nhà sản xuất thiết bị lớn, bao gồm Acer, Intel và Lenovo, sau đó họ kết hợp firmware vào hàng trăm mẫu thiết bị.
Giám đốc điều hành Binarly, ông Alex Matrosov ước tính 95% thiết bị sử dụng phần mềm UEFI từ một trong những nhà cung cấp BIOS bị ảnh hưởng. Tuy nhiên, các nhà nghiên cứu của Binarly cho biết, không phải tất cả các thiết bị có lỗi phân tích cú pháp hình ảnh đều có thể được coi là thực sự “có thể bị khai thác”. Ví dụ, trong khi các thiết bị Dell được các nhà nghiên cứu kiểm tra, có tổng cộng 526 trình phân tích cú pháp bị lỗi, các lỗ hổng này không thể được sử dụng để thực thi mã độc vì máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.
Mặc dù hiện vẫn chưa thể tổng hợp danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng nhưng Binaryly cho biết đã báo cáo các lỗ hổng này cho các nhà cung cấp BIOS cũng như các nhà cung cấp thiết bị lớn nhiều tháng trước khi tiết lộ chi tiết về LogoFAIL. Người dùng sẽ cần đảm bảo firmware trên máy tính của họ được cập nhật bảo mật để bảo vệ tránh bị khai thác LogoFAI.