Lỗ hổng Firmware LogoFAIL đe dọa 95% máy tính

Theo các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly, đã phát hiện lỗ hổng firmware có tên gọi là LogoFAIL xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI - Unified Extensible Firmware Interface (Giao diện firmware mở rộng hợp nhất) để tải hình ảnh logo trên màn hình khởi động. Các thiết bị từ nhiều nhà cung cấp lớn như Intel, Acer và Lenovo,... cũng như hàng trăm thiết bị tiêu dùng và doanh nghiệp, đều có khả năng bị tấn công.

Thông tin về lỗ hổng LogoFAIL đã được công bố lần đầu vào ngày 29/11/2023, và chi tiết kỹ thuật đã được trình bày tại sự kiện Black Hat Europe 2023 vào ngày 6/12. Việc khai thác lỗ hổng này yêu cầu kẻ tấn công có quyền truy cập vào phân vùng hệ thống EFI (ESP), nơi lưu trữ hình ảnh logo. Điều này có thể được đạt được thông qua khai thác các lỗi khác hoặc có quyền truy cập vật lý vào thiết bị.

Các nhà nghiên cứu cảnh báo rằng LogoFAIL có thể mang lại lợi thế cho kẻ tấn công, vượt qua hầu hết các giải pháp bảo mật điểm cuối và cung cấp bootkit tồn tại lâu dài trong phân vùng EFI hoặc firmware có hình ảnh logo đã được sửa đổi.

Bên cạnh đó, Binarly cũng chỉ ra rằng LogoFAIL ảnh hưởng đến ba nhà cung cấp BIOS - Basic Input/Output System (hệ thống thông tin đầu vào/Đầu ra cơ bản) độc lập là AMI, Insyde và Phoenix, mà họ cung cấp firmware UEFI cho hàng trăm nhà sản xuất thiết bị lớn. Điều này bao gồm Acer, Intel và Lenovo. Theo Giám đốc điều hành Binarly, ông Alex Matrosov, ước tính khoảng 95% thiết bị sử dụng phần mềm UEFI từ ít nhất một trong ba nhà cung cấp BIOS nói trên đều bị ảnh hưởng.

Tuy nhiên, không phải tất cả các thiết bị đều có thể bị khai thác. Ví dụ, các nhà nghiên cứu đã kiểm tra thiết bị Dell và phát hiện 526 trình phân tích cú pháp bị lỗi, nhưng không thể được sử dụng để thực thi mã độc do máy tính Dell không cho phép thay đổi hình ảnh logo khởi động.

Được biết, Binarly đã thông báo về các lỗ hổng này cho các nhà cung cấp BIOS và các nhà sản xuất thiết bị nhiều tháng trước khi công bố chi tiết về LogoFAIL. Các người dùng được khuyến nghị cập nhật firmware trên máy tính của họ để bảo vệ khỏi rủi ro này. LogoFAIL không chỉ đe dọa quá trình khởi động mà còn có thể cài đặt và duy trì phần mềm độc hại sau khi cài đặt lại hệ điều hành, vượt qua các giải pháp bảo mật điểm cuối, Secure Boot và Virtualization-Based Security.

Trước đó, Binarly cũng đã phát hiện 23 lỗ hổng bảo mật trong firmware UEFI của nhiều nhà cung cấp như Bull Atos, Fujitsu, HP, Juniper Networks, Lenovo,... sử dụng. Những lỗ hổng này cũng có thể được khai thác để cài đặt và duy trì phần mềm độc hại sau cài đặt lại hệ điều hành.

Có thể thấy, LogoFAIL là một rủi ro nghiêm trọng đối với chuỗi cung ứng toàn cầu, đặt ra thách thức lớn cho cộng đồng an ninh mạng. Việc cập nhật firmware đang trở thành biện pháp cần thiết để ngăn chặn tin tặc khai thác những lỗ hổng này và bảo vệ hệ thống khỏi các tác động tiêu cực của LogoFAIL.

Duy Trinh (t/h)