オンラインで見つかったコードは、LogoFAIL を悪用して Bootkitty Linux バックドアをインストールします

通常、セキュア ブートにより、 UEFI ファイルがデバイス メーカーによって信頼されていることを証明するデジタル署名が付いていなければ、後続のすべてのファイルを実行できません。このエクスプロイトは、起動プロセス中に UEFI によって表示される悪意のあるビットマップ イメージに隠されたシェル コードを挿入することで、この保護をバイパスします。挿入されたコードは、悪意のあるファイルにデジタル署名する暗号キーをインストールします。 グラブ ファイルと Linux カーネルのバックドア イメージが含まれており、どちらも Linux マシン上のブート プロセスの後半段階で実行されます。

このキーをサイレント インストールすると、UEFI は悪意のある GRUB とカーネル イメージを信頼できるコンポーネントとして扱い、セキュア ブート保護をバイパスします。最終的な結果は、他のセキュリティ防御が読み込まれる前に、バックドアが Linux カーネルに侵入することです。

実地で見つかった LogoFAIL エクスプロイト Binarly の実行フローを示す図。


クレジット: Binarly

runZero の CTO 兼共同創設者であり、ファームウェア ベースのマルウェアの専門家である HD ムーア氏は、オンライン インタビューで、Binarly レポートについて次のように説明しました。

Binarly の論文は、何者かが LogoFAIL バグを利用して、ファームウェアをだまして自己署名キー (MOK 変数としてファームウェアに保存される) を受け入れるようにすることで、セキュア ブート (ファームウェア) をバイパスする UEFI ペイロードを構成していることを指摘しています。悪意のあるコードは依然として UEFI のユーザー側に限定されていますが、LogoFAIL エクスプロイトにより、独自の署名キーをファームウェアの許可リストに追加できます (ただし、それ以外の方法でファームウェアに感染することはありません)。

これは事実上、ファームウェア バックドアに対して GRUB ベースのカーネル バックドアであることに変わりはありませんが、ファームウェアのバグ (LogoFAIL) を悪用して、ユーザーの介入 (登録、再起動、新しい MOK 署名キーの受け入れ) なしでインストールできるようにします。

通常のセキュア ブート セットアップでは、管理者はローカル キーを生成し、これを使用して更新されたカーネル/GRUB パッケージに署名し、作成したキーを登録するようにファームウェアに指示し、再起動後、管理者はコンソール経由でこの新しいキーを受け入れる必要があります。 (またはリモートで bmc/ipmi/ilo​​/drac/etc BIOS コンソール経由)。

この設定では、攻撃者は、LogoFAIL エクスプロイトを介してユーザーの介入なしで独自の署名キーを登録することで、既知の正常な GRUB + カーネルをバックドア バージョンに置き換えることができますが、それでも実質的には GRUB ベースのブートキットであり、ハードコーディングされません。 BIOS ファームウェアか何か。

このエクスプロイトに対して脆弱なマシンには、Acer、HP、富士通、Lenovo が販売する、メーカー Insyde が開発した UEFI を搭載して出荷され、Linux を実行する一部のモデルが含まれます。エクスプロイト コードで見つかった証拠は、エクスプロイトがそのようなマシンの特定のハードウェア構成に合わせて調整されている可能性があることを示しています。 Insyde は今年初めに、このエクスプロイトの動作を阻止するパッチを発行しました。パッチが適用されていないデバイスは依然として脆弱です。 Insyde 以外の UEFI を使用するこれらのメーカーのデバイスは影響を受けません。

出典