Linux

このブートキットは、韓国のBest of the Best (BoB)サイバーセキュリティ・トレーニング・プログラムの学生によって作成された。

最近発見された「Bootkitty」Linux UEFIブートキットは、CVE-2023-40238として追跡されているLogoFAILの欠陥を悪用し、脆弱なファームウェア上で動作するコンピュータをターゲットにします。

これは、2023年11月にLogoFAILを発見し、実際の攻撃に使用される可能性について警告したファームウェア・セキュリティ企業Binarly社によって確認されている。

BootkittyとLogoFAILの関係

BootkittyはESET社によって発見され、同社は先週レポートを発表し、特にLinuxをターゲットにした最初のUEFIブートキットであると指摘した。しかし、現時点では、広範な脅威というよりは、特定のUbuntuバージョンでのみ動作する開発中のUEFIマルウェアである。

LogoFAILは、様々なハードウェア・ベンダーが使用するUEFIファームウェア・イメージのイメージ解析コードに存在する一連の欠陥で、EFIシステム・パーティション(ESP)上に仕込まれた悪意のあるイメージやロゴによって悪用される。

「これらのイメージがブート中に解析されると、脆弱性がトリガーされ、攻撃者が制御するペイロードが任意に実行され、実行フローをハイジャックし、ハードウェアベースのベリファイド・ブート・メカニズムを含むセキュア・ブートのようなセキュリティ機能をバイパスすることができる」とBinarly氏は以前説明している

Binarlyの最新レポートによると、BootkittyはBMPファイル(’logofail.bmp’および’logofail_fake.bmp’)内にシェルコードを埋め込み、MokList亜種に不正な認証を注入することでセキュア・ブート保護をバイパスします。

Malicious image files
悪意のある画像ファイル
Source:Binarly

「logofail.bmp」ファイルの末尾にはシェルコードが埋め込まれており、負の高さ値(0xfffffd00)が解析中の境界外書き込み脆弱性を誘発します。

正当なMokListは不正な証明書に置き換えられ、悪意のあるブートローダー(‘bootkit.efi’)を効果的に認可する。

シェルコードに実行を移した後、Bootkittyは脆弱な関数(RLE8ToBlt)内の上書きされたメモリロケーションを元の命令で復元するため、明らかな改ざんの兆候はすべて消去されます。

Bootkitty attack overview
Bootkitty 攻撃の概要
Source:Binarly

特定のハードウェアへの影響

Binarly氏によれば、BootkittyはLogoFAILに対するパッチが適用されていないあらゆるデバイスに影響を与える可能性があるが、現在のシェルコードはAcer、HP、Fujitsu、Lenovoのコンピュータに見られるファームウェア・モジュールで使用される特定のコードを想定しているという。

研究者がbootkit.efiファイルを分析した結果、Bootkittyがこのブランドで使用されている特定の変数名とパスを参照していることから、InsydeをベースとするLenovoデバイスが最も影響を受けやすいことが判明した。しかし、これは開発者が自分のノートパソコンでブートキットをテストしているだけで、後でより幅広いデバイスのサポートを追加することを示している可能性がある。

最新のファームウェアがまだLogoFAILエクスプロイトに対して脆弱である広く使われているデバイスには、IdeaPad Pro 5-16IRH8、Lenovo IdeaPad 1-15IRU7、Lenovo Legion 7-16IAX7、Lenovo Legion Pro 5-16IRX8、Lenovo Yoga 9-14IRP8などがある。

「私たちが最初にLogoFAILについて警鐘を鳴らしてから1年以上が経過したが、依然として多くの被害者がLogoFAILの脆弱性の1つまたは複数の亜種に脆弱なままである」とBinarly氏は警告している

「Bootkittyは、これらの脆弱性が適切に対処されなかったり、修正プログラムが現場のデバイスに適切に導入されなかったりした場合に生じる結果を思い起こさせるものです。

LogoFAIL のリスクを軽減するために利用可能なセキュリティ・アップデートがないデバイスを使用している場合は、物理的なアクセスを制限し、セキュア・ブートを有効にし、UEFI/BIOS 設定をパスワードで保護し、外部メディアからの起動を無効にし、OEM の公式ウェブサイトからのみファームウェア・アップデートをダウンロードするようにしてください。

更新 12/2/24: ESET は本日、オリジナルの BootKitty の記事を更新し、このプロジェクトは韓国の Best of the Best (BoB) トレーニングプログラムのサイバーセキュリティの学生によって作成されたと述べています。

「このプロジェクトの主な目的は、潜在的なリスクに関するセキュリティコミュニティ内の認識を高め、同様の脅威を防止するための積極的な対策を奨励することです。

「残念ながら、予定されていたカンファレンスでの発表前に公開されたブートキットのサンプルはほとんどありませんでした。