Mã độc BootKitty UEFI khai thác LogoFAIL để lây nhiễm cho hệ thống Linux
Mã độc BootKitty là một bootkit UEFI mới được phát hiện, chuyên để tấn công hệ thống Linux thông qua lỗ hổng LogoFAIL (CVE-2023-40238). Đây là bootkit UEFI đầu tiên nhắm đến hệ điều hành Linux, được phát hiện bởi công ty an ninh mạng ESET.
Thông tin chi tiết
Khai Thác Lỗ Hổng LogoFAIL:
Tận dụng các lỗ hổng trong mã phân tích ảnh của firmware UEFI
Sử dụng các tập tin ảnh BMP độc hại để vượt qua bảo vệ Secure Boot
Phương Thức Tấn Công:
Nhúng shellcode vào các tập tin ảnh 'logofail.bmp' và 'logofail_fake.bmp'
Sử dụng giá trị chiều cao âm (0xfffffd00) để kích hoạt lỗ hổng ghi ngoài phạm vi
Thay thế chứng chỉ MokList hợp pháp bằng chứng chỉ độc hại
Cho phép bootloader độc hại ('bootkit.efi') được thực thi
Phần Cứng Bị Ảnh Hưởng
Máy tính của các hãng: Acer, HP, Fujitsu, Lenovo
Đặc biệt là các mẫu Lenovo sử dụng firmware Insyde:
IdeaPad Pro 5-16IRH8
IdeaPad 1-15IRU7
Legion 7-16IAX7
Legion Pro 5-16IRX8
Yoga 9-14IRP8
Theo ESET, BootKitty là một dự án của các sinh viên an ninh mạng trong chương trình đào tạo Best of the Best (BoB) tại Hàn Quốc. Mục tiêu chính là:
Nâng cao nhận thức trong cộng đồng an ninh
Khuyến khích các biện pháp phòng ngừa chủ động
Binarly - công ty phát hiện ra lỗ hổng LogoFAIL - cảnh báo rằng nhiều hệ thống vẫn chưa được vá, và BootKitty là minh chứng cho những nguy hiểm tiềm ẩn khi các lỗ hổng bảo mật không được giải quyết kịp thời.
IOCs
| SHA-1 | Filename | Detection | Description |
| 35ADF3AED60440DA7B80F3C452047079E54364C1 | bootkit.efi | EFI/Agent.A | Bootkitty UEFI bootkit. |
| BDDF2A7B3152942D3A829E63C03C7427F038B86D | dropper.ko | Linux/Rootkit.Agent.FM | BCDropper. |
| E8AF4ED17F293665136E17612D856FA62F96702D | observer | Linux/Rootkit.Agent.FM | BCObserver. |
Khuyến Nghị
Để bảo vệ khỏi BootKitty, người dùng nên:
Hạn chế truy cập vật lý
Kích hoạt Secure Boot
Đặt mật khẩu cho cài đặt UEFI/BIOS
Vô hiệu hóa khởi động từ thiết bị ngoài
Chỉ tải firmware từ trang web chính thức của nhà sản xuất
Tham Khảo
