حمله‌ی LogoFAIL: استفاده از فایل‌های تصویری برای حمله به کامپیوترها

10 دی 1402 حمله‌ی LogoFAIL: استفاده از فایل‌های تصویری برای حمله به کامپیوترها

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی لپ‌تاپی را روشن می‌کنید، لوگوی تولیدکننده پیش از بوت شدن سستم‌عامل، روی اسکرین پدیدار می‌شود. این لوگو در واقع می‌تواند تغییر کند- کارکردی که قصدش استفاده‌ی خود تولیدکنندگان لپ‌تاپ یا کامپیوتر دسکتاپی بوده است. اما هیچ‌چیز مانع استفاده کاربر معمولی از آن و جایگزین کردن لوگوی پیش‌فرض با تصویر متفاوت نمی‌شود. لوگو در کدی ذخیره می‌شود که فوراً بعد از روشن شدن کامپیوتر در سفت‌افزاری که نامش UEFI است اجرا می‌شود. اینطور به نظر می‌رسد که کارکرد جایگزینی لوگو راهی برای دستکاری شدنِ جدیِ دستگاه باز می‌کند: مهاجمین می‌توانند آن را هک کرده و در ادامه کنترل سیستم را به دست گیرند و این کار حتی می‌تواند به صورت ریموت نیز انجام شود. امکان چنین حمله‌ای که آن را LogoFAIL صدا می‌زنند اخیراً توسط متخصصین در سازمان تحقیقاتی Binarly مورد بحث قرار گرفت. در این مقاله قصد داریم به زبانی ساده این حمله را شرح داده اما ابتدا بگذارید از خطرات بوت‌کیت‌های به اصطلاح UEFI بگوییم. با ما همراه باشید.

بوت‌کیت‌های UEFI: بدافزاری که قبل از سیستم بارگذاری شده است

به لحاظ تاریخی، برنامه‌ای که با روشن شدن پی‌سی اجرا می‌شد  BIOS (سیستم ورودی/خروجی پایه) نامیده می‌شد و به شدت محدود به قابلیت‌های خود بود اما به هر حال برنامه‌ای الزامی برای اولیه‌سازی سخت‌افزار کامپیوتر و بعد انتقال کنترل به لودر سیستم عامل به حساب می‌آمد. از اواخر دهه 2000، BIOS به تدریج شروع کرد جایگزین شدن با UEFI که نسخه پیچیده‌تری از همان برنامه پایه بود. این نسخه قابلیت‌های اضافی مانند محافظت در برابر اجرای کد مخرب داشت. مشخصاً UEFI قابلیتی به نام Secure Boot را پیاده‌سازی می‌کرد که الگوریتم‌های کریپتوگرافیک را برای بررسی کد در هر مرحله از بوت کامپیوتر از روشن کردنش گرفته تا لود سیستم عامل به خدمت می‌گرفت. این برای مثال جایگزینی کد واقعی سیستم عامل را با کد مخرب سخت‌تر می‌کرد اما افسوس که این راهکارهای امنیتی کاملاً امکان لود کد مخرب را در مرحله اولیه از بین نبرده‌اند. و اگر مهاجمین تصمیم گیرند بدافزار یا بوت‌کیت را در UEFI قاچاق کنند پیامدهایش جدی خواهد بود. مشکل بوت‌کیت‌های UEFI این است که به شدت سخت داخل سیستم عامل شناسایی می‌شوند. یک بوت‌کیت می‌تواند فایل سیستم‌ها را دستکاری کرده و کد مخرب را در سیستم عامل با بالاترین مزیت‌ها اجرا نماید. و مشکل اصلی این است که نه تنها می‌تواند یک نصب مجدد تمام عیار سیستم عامل را که همچنین جایگزینی هارد درایو را نیز با سلامت از سر بگذارند. بوت‌کیت پنهان‌شده در سفت‌افزار  UEFI به داده‌های ذخیره‌شده روی سیستم درایو وابسته نیست. در نتیجه بوت‌کیت‌ها اغلب در حملات هدف‌دار پیچیده استفاده می‌شوند.

این به تصاویر چه ربطی می‌تواند داشته باشد؟

از آنجایی که UEFI محافظت قوی در برابر اجرای کد مخرب دارد، معرفی تروجان به پروسه بوت کار چندان آسانی نیست. با این وجود، ایمکان اکسپلویت نقایص در کد UEFI برای اجرای کد دلخواه در مرحله اولیه وجود دارد. برای همین محققین در باینری دلیل خوبی داشتند تا به مکانیزمی که جایگزینی لوگوی کارخانه را ممکن می‌ساخت توجه بیشتری کنند. برای نمایش لوگو برنامه‌ای که داده‌ها را از فایل تصویری گرافیکی می‌خواند و این تصویر را روی اسکرین نشان می‌دهد اجرا می‌شود. اما اگر کاری کنند که برنامه رفتار ناهنجار از خود نشان دهد چه؟ سه توسعه‌دهنده اصلی نرم‌افزار UEFI داریم: AMI, Insyde و  Phoenix که هر یک رویکرد جداگانه‌ای به پردازش لوگو دارند. برای مثال Insyde دارای برنامه‌های مجزای پردازش تصویر برای فرمت‌های مختلف، از JPEG تا BMP است. AMI و Phoenix مدیریت همه فرمت‌ها را در یک برنامه واحد ادغام می‌کنند.  آسیب‌پذیری‌هایی در هر یک از آنها کشف شد که در مجموع بیست و چهار خطای بحرانی داشتند.

همه چیز نسبتاً ساده است: مهاجم می تواند تصویر لوگوی جدید را به دلخواه تغییر دهد. این شامل، برای مثال، تنظیم وضوح لوگو به‌گونه‌ای است که این پارامتر فراتر از محدودیت‌های تعریف‌شده در کد مدیریت پایان یابد. این منجر به یک خطای محاسباتی و در نهایت منجر به نوشتن داده ها از فایل تصویری در ناحیه برای داده‌های اجرایی می شود. سپس این داده ها با حداکثر امتیازات اجرا می‌گردند.  با این حال، اگر کد مخرب دارای این سطح دسترسی باشد، مهاجم می‌تواند تقریباً هر عملی را در سیستم عامل انجام دهد. قابل ذکر است که برخی از مدل‌های دستگاه از تولیدکنندگان بزرگ در معرض این حمله قرار نگرفتند و به یک دلیل بسیار ساده:

جایگزین کردن لوگو در UEFI آنها اساساً مسدود شده است. از جمله این مدل‌ها می توان به تعدادی لپ تاپ اپل و دستگاه‌های دل اشاره کرد.

استفاده‌های خطرناک تجاری

به لحاظ تئوری، این حمله می‌تواند به صورت ریموت انجام شود: در برخی موارد، حتی تزریق تصویر خاصه تدارک‌دیده‌شده در بخش سیستم EFI روی دیسک کفایت می‌کند و در ریبوت بعدی پردازش خواهد شد. نکته این است که اجرای نین عملی نیاز به دسترسی تمام به سیستم دارد؛ یعنی هر داده‌ای در کامپیوتر باید از قبل برای مهاجمین موجود باشد. ممکن است سوال پیش بیای دکه پس فایده پیاده‌ساز حمله LogoFAIL چیست؟ برای تضمین اینکه کد آلوده حتی اگر سیستم عامل از نو نصب شود جان سالم به در می‌برد. این نوع ماندگاری و سماجت معمولاً به شدت مورد نظر عاملین حمله APT است. این مشکل رفته‌رفته توسط نسخه‌های به روزشده‌ی  UEFI که خطاهای داخل هندلرهای تصویر را فیکس می‌کنند حل خواهد شد. با این حال چون همه شرکت‌ها با جدیت آپدیت‌های سفت‌افزاری را دنبال نمی‌کنند، تعداد زیادی دستگاه احتمالاً محافظت‌نشده باقی خواهند ماند. و فهرست دستگاه‌های آسیب‌پذیر نه تنها شامل لپ‌تاپ‌ها که همچنین مادربوردهای سرور نیز می‌شود. این یعنی تحقیق باینری را باید به شدت جدی گرفت.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد