LogoFAIL：一项影响95%计算机的固件漏洞

关键要点

研究人员表示，一项固件漏洞可能影响95%的计算机，允许黑客在启动时绕过引导安全措施并执行恶意软件。这些漏洞源自UEFI系统固件中用于加载启动屏幕logo图像的图像解析器，因而被称为“LogoFAIL”。

Binarly，一家专注于固件供应链安全的公司，发现了这些漏洞，并警告称“数百款来自多家供应商的消费者和企业级设备，包括Intel、Acer和Lenovo，可能存在风险。”。

LogoFAIL首次在11月29日的博客文章中披露，随后在Binarly于展示其研究成果后，公开了。

LogoFAIL是一组固件漏洞，存在于用于加载设备启动过程中的logo图像的图像解析库中。利用LogoFAIL，攻击者需访问EFI系统分区（ESP），即logo图像存储的位置，也就是说，黑客已经通过利用其他漏洞获得了远程访问权限，或者对设备有物理访问权限。

通过更改或替换logo图像为恶意加载项，注入的恶意软件将在启动时解析图像时任意执行。该图像解析过程发生的时间过早，使得安全机制如安全引导（SecureBoot）和Intel Boot Guard无法检测到恶意代码。

Binarly的研究人员指出：“这种攻击方式可以使攻击者在绕过大多数终端安全解决方案方面占据优势，并且能够投放一个持久性的固件引导后门，这种后门将保留在ESP分区或固件包中，和修改后的logo图像一起。”

以下视频展示了LogoFAIL的概念验证攻击演示：

由于三大独立BIOS供应商（IBVs）——AMI、Insyde和Phoenix广泛使用受影响的图像解析器，LogoFAIL的攻击面非常巨大。这些供应商为包括Acer、Intel和Lenovo在内的多家主要设备制造商提供UEFI系统固件，后者又将这些固件整合到数百款设备型号中。

根据Binarly首席执行官Alex Matrosov的估计，95%的设备使用的是受影响的IBV之一的UEFI固件，
。

然而，Binarly的研究人员报告称，并非所有存在图像解析器缺陷的设备都可以被认为是“可被利用的”。例如，虽然研究人员测试的Dell设备共包含526个存在缺陷的解析器，但由于Dell电脑不允许启动logo图像被更改，因此这些缺陷无法用于执行恶意代码。

尽管研究人员尚未能够编制受影响设备型号的完整列表，但在披露LogoFAIL细节之前，已向主要的IBV和设备供应商报告了这些漏洞。用户需要确保他们的计算机固件保持更新，以防受LogoFAIL漏洞攻击。例如，以及如何更新特定设备型号的说明。