-
09/04/2020
-
93
-
633 bài viết
Phần mềm độc hại BootKitty khai thác lỗ hổng LogoFAIL để lây nhiễm hệ thống Linux
Các nhà nghiên cứu an ninh mạng đã phát hiện ra "Bootkitty" bootkit UEFI đầu tiên được tạo để tấn công các hệ thống Linux. Bootkit mới này khai thác lỗ hổng LogoFAIL (CVE-2023-40238) trong firmware UEFI, cho phép vượt qua cơ chế bảo mật Secure Boot và chèn các payload độc hại vào hệ thống.
Bootkitty là một loại bootkit có thể lây nhiễm vào kernel Linux. Dù hiện tại mới có mã khai thác (PoC) nhưng điều này đánh dấu một bước chuyển lớn khi các cuộc tấn công bằng bootkit mở rộng sang cả hệ sinh thái ngoài Windows.
Khai thác này sử dụng shellcode nhúng bên trong tệp ảnh BMP để vượt qua cơ chế bảo vệ Secure Boot bằng cách chèn các chứng chỉ giả mạo vào biến MokList. MokList giả mạo này cho phép hệ thống Secure Boot tin tưởng bootkit, cho phép nó được tải trong quá trình khởi động ban đầu.
Tệp hình ảnh độc hại
Chuỗi lây nhiễm của Bootkitty bắt đầu với các tệp BMP đã bị chỉnh sửa, được đặt tên cụ thể là logofail.bmp, chứa mã shellcode. Phân tích của các chuyên gia chỉ ra rằng các tệp độc hại này:
Tổng quan về cuộc tấn công Bootkitty
Lỗ hổng này ảnh hưởng đến firmware UEFI trên các thiết bị của Acer, HP, Fujitsu và Lenovo. Mặc dù một số nhà sản xuất như Insyde đã phát hành bản vá, nhưng vẫn còn nhiều thiết bị chưa được vá và dễ bị tấn công. Đặc biệt, các thiết bị Lenovo sử dụng một số phiên bản firmware nhất định được xác định là mục tiêu chính do tính tương thích với chuỗi khai thác của Bootkitty.
Đã hơn một năm kể từ khi các chuyên gia an ninh mạng lần đầu tiên cảnh báo về lỗ hổng LogoFAIL nhưng nhiều thiết bị vẫn còn tồn tại nguy cơ bị tấn công. Vì vậy người dùng cần:
Bootkitty là một loại bootkit có thể lây nhiễm vào kernel Linux. Dù hiện tại mới có mã khai thác (PoC) nhưng điều này đánh dấu một bước chuyển lớn khi các cuộc tấn công bằng bootkit mở rộng sang cả hệ sinh thái ngoài Windows.
Khai thác này sử dụng shellcode nhúng bên trong tệp ảnh BMP để vượt qua cơ chế bảo vệ Secure Boot bằng cách chèn các chứng chỉ giả mạo vào biến MokList. MokList giả mạo này cho phép hệ thống Secure Boot tin tưởng bootkit, cho phép nó được tải trong quá trình khởi động ban đầu.
Tệp hình ảnh độc hại
Chuỗi lây nhiễm của Bootkitty bắt đầu với các tệp BMP đã bị chỉnh sửa, được đặt tên cụ thể là logofail.bmp, chứa mã shellcode. Phân tích của các chuyên gia chỉ ra rằng các tệp độc hại này:
- Chứa shellcode nhúng được thiết kế để chỉnh sửa biến MokList của Secure Boot
- Khai thác các lỗ hổng để thực thi mã tùy ý trong môi trường UEFI
- Thay thế logo khởi động hợp lệ bằng logo giả mạo để che giấu hoạt động
Tổng quan về cuộc tấn công Bootkitty
Lỗ hổng này ảnh hưởng đến firmware UEFI trên các thiết bị của Acer, HP, Fujitsu và Lenovo. Mặc dù một số nhà sản xuất như Insyde đã phát hành bản vá, nhưng vẫn còn nhiều thiết bị chưa được vá và dễ bị tấn công. Đặc biệt, các thiết bị Lenovo sử dụng một số phiên bản firmware nhất định được xác định là mục tiêu chính do tính tương thích với chuỗi khai thác của Bootkitty.
Đã hơn một năm kể từ khi các chuyên gia an ninh mạng lần đầu tiên cảnh báo về lỗ hổng LogoFAIL nhưng nhiều thiết bị vẫn còn tồn tại nguy cơ bị tấn công. Vì vậy người dùng cần:
- Cập nhật firmware mới nhất từ nhà sản xuất thiết bị để khắc phục lỗ hổng
- Thực hiện các biện pháp kiểm tra Secure Boot bổ sung nhằm ngăn chặn các chứng chỉ giả mạo
Theo Security Online