Взлом через логотип: уязвимость LogoFAIL открывает двери хакерам на устройствах Lenovo

Новая угроза для пользователей компьютеров Lenovo обнаружена специалистами в области кибербезопасности. Уязвимость под кодовым названием LogoFAIL, позволяющая хакерам использовать буткит Bootkitty для взлома UEFI — базовой системы ввода-вывода, — стала новым вызовом для индустрии безопасности.

Исследователи из компании Binarly выявили, что вредоносный код может быть встроен в изображение логотипа, которое затем загружается в систему при старте компьютера. Этот метод атаки использует ошибку в коде обработки изображений прошивок UEFI, что позволяет злоумышленникам загружать свои программы на зараженные машины, обходя стандартные меры защиты, включая Secure Boot.

Впервые уязвимость была замечена и задокументирована антивирусной компанией ESET, которая отметила, что буткит Bootkitty был разработан студентами из Южной Кореи в рамках образовательного проекта по кибербезопасности. Однако, как это часто бывает, тестовые образцы программы утекли в интернет до официальной презентации, что открыло дорогу для возможных злоупотреблений.

На данный момент особенно уязвимы некоторые модели Lenovo, включая Lenovo IdeaPad Pro 5-16IRH8, Lenovo Legion 7-16IAX7 и Lenovo Yoga 9-14IRP8, в прошивке которых используются модули Insyde, подверженные атаке.

Для защиты от потенциальных атак эксперты рекомендуют пользователям обеспечить физическую безопасность своих устройств, активировать Secure Boot, установить пароль на UEFI/BIOS, отключить возможность загрузки с внешних носителей и всегда использовать только официальные источники при обновлении прошивки. Несмотря на прошедший год с момента обнаружения LogoFAIL, многие производители до сих пор не выпустили соответствующих патчей, оставляя пользователей под угрозой.