详细内容或原文请订阅后点击阅览
BootKitty Linux UEFI 启动套件被发现利用 LogoFAIL 漏洞
“Bootkitty”Linux UEFI 启动套件利用 LogoFAIL 漏洞 (CVE-2023-40238) 来攻击使用易受攻击固件的系统。来自 ESET 的网络安全研究人员最近发现了第一个旨在针对 Linux 系统的 UEFI 启动套件,其作者称之为 Bootkitty。该启动套件允许攻击者禁用内核的签名验证功能并预加载两个尚未知晓的 ELF […]
来源:Security Affairs _恶意软件发现 BootKitty Linux UEFI 启动套件利用 LogoFAIL 漏洞
发现 BootKitty Linux UEFI 启动套件利用 LogoFAIL 漏洞
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 3 日“Bootkitty”Linux UEFI 启动套件利用 LogoFAIL 漏洞 (CVE-2023-40238) 来攻击使用易受攻击固件的系统。
ESET 的网络安全研究人员最近发现了第一个旨在针对 Linux 系统的 UEFI 启动套件,其作者称之为 Bootkitty。
发现该启动套件允许攻击者禁用内核的签名验证功能并通过 Linux init 进程预加载两个尚未知晓的 ELF 二进制文件。
2024 年 11 月,一个名为 bootkit.efi 的未知 UEFI 应用程序被上传到 VirusTotal。
VirusTotal“我们的初步分析证实它是一个 UEFI 启动套件,其创建者将其命名为 Bootkitty,令人惊讶的是,它是第一个针对 Linux 的 UEFI 启动套件,具体来说,是几个 Ubuntu 版本。” ESET 发布的建议中写道。 “Bootkitty 由自签名证书签名,因此除非安装了攻击者的证书,否则无法在启用了 UEFI 安全启动的系统上运行。”
“我们的初步分析证实它是一个 UEFI 启动套件,其创建者将其命名为 Bootkitty,令人惊讶的是,它是第一个针对 Linux 的 UEFI 启动套件,具体来说,是几个 Ubuntu 版本。” ESET 发布的建议中写道。 “Bootkitty 由自签名证书签名,因此除非安装了攻击者的证书,否则无法在启用了 UEFI 安全启动的系统上运行。” 咨询研究人员注意到 bootkit.efi 中有许多工件,这表明该二进制文件很可能是一个概念证明,从未在野外攻击中使用过。
作者使用自签名证书对 Bootkitty 进行签名,因此除非安装了攻击者的证书,否则恶意软件无法在启用了 UEFI 安全启动的系统上运行。
LogoFAILMokList
阅读报告
MokList
bootkit.efi
0xfffffd00
0x0
在 Twitter 上关注我:@securityaffairs、Facebook 和 Mastodon
( –