“Hàng trăm thiết bị tiêu dùng và doanh nghiệp từ nhiều nhà cung cấp khác nhau, bao gồm Intel, Acer và Lenovo có khả năng bị tấn công”, Binarly đưa ra cảnh báo. Lỗ hổng LogoFAIL lần đầu tiên được tiết lộ trong một bài đăng vào ngày 29/11/2023 và các chi tiết kỹ thuật đã được công bố vào ngày 6/12 sau khi Binarly trình bày những phát hiện của mình tại sự kiện Black Hat Europe 2023.
LogoFAIL là một tập hợp các lỗ hổng firmware trong thư viện phân tích hình ảnh được sử dụng để tải logo trong quá trình khởi động thiết bị. Việc khai thác LogoFAIL yêu cầu kẻ tấn công phải có quyền truy cập vào phân vùng hệ thống EFI (ESP) nơi lưu trữ hình ảnh logo, tức là tin tặc đã có được quyền truy cập từ xa bằng cách khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.
Việc thay đổi hoặc thay thế hình ảnh logo bằng payload độc hại sẽ khiến phần mềm độc hại được lây nhiễm và thực thi tùy ý khi hình ảnh được phân tích cú pháp trong quá trình khởi động. Quá trình phân tích hình ảnh này diễn ra khá nhanh để các cơ chế bảo mật như Secure Boot và Intel Boot Guard có thể phát hiện được mã độc.
Các nhà nghiên cứu của Binarly cho biết: “Vectơ tấn công này có thể mang lại lợi thế cho kẻ tấn công trong việc vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit (loại rootkit có khả năng can thiệp và thay đổi quá trình khởi động của hệ điều hành, nhằm mục đích chèn các thành phần mã độc của nó vào hệ thống một cách lén lút) tồn tại lâu dài trong phân vùng ESP hoặc firmware có hình ảnh logo đã được sửa đổi”.
Bề mặt tấn công của LogoFAIL là rất lớn do ba nhà cung cấp BIOS độc lập là AMI, Insyde và Phoenix sử dụng rộng rãi các trình phân tích cú pháp hình ảnh bị ảnh hưởng. Các nhà cung cấp này cung cấp firmware hệ thống UEFI cho hàng chục nhà sản xuất thiết bị lớn, bao gồm Acer, Intel và Lenovo, sau đó họ kết hợp firmware vào hàng trăm mẫu thiết bị.
Giám đốc điều hành Binarly, ông Alex Matrosov ước tính 95% thiết bị sử dụng phần mềm UEFI từ một trong những nhà cung cấp BIOS bị ảnh hưởng. Tuy nhiên, các nhà nghiên cứu của Binarly cho biết, không phải tất cả các thiết bị có lỗi phân tích cú pháp hình ảnh đều có thể được coi là thực sự “có thể bị khai thác”. Ví dụ, trong khi các thiết bị Dell được các nhà nghiên cứu kiểm tra, có tổng cộng 526 trình phân tích cú pháp bị lỗi, các lỗ hổng này không thể được sử dụng để thực thi mã độc vì máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.
Mặc dù hiện vẫn chưa thể tổng hợp danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng nhưng Binaryly cho biết đã báo cáo các lỗ hổng này cho các nhà cung cấp BIOS cũng như các nhà cung cấp thiết bị lớn nhiều tháng trước khi tiết lộ chi tiết về LogoFAIL. Người dùng sẽ cần đảm bảo firmware trên máy tính của họ được cập nhật bảo mật để bảo vệ tránh bị khai thác LogoFAI.
Tuấn Hưng
(SCmagazine)
07:00 | 18/01/2024
09:00 | 24/11/2023
09:00 | 08/12/2023
08:00 | 11/01/2024
07:00 | 18/01/2024
13:00 | 21/11/2023
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024