UEFI-sårbarhet utnyttjas för att installera Linux-bakdörr

social engineering is real

Varför direktåtkomst? Källa på det?

Såvitt jag sett verkar det snarast bara kräva att man har kod som körs med rättigheter nog att skriva över några filer (oavsett om man är på andra sidan jorden), sedan har de tvättat bort användarinteraktionen som normalt skulle krävas genom kombinationen av dessa exploits?

Skrivskydda och lyft enbart vid, avsiktliga, uppdateringar då.

Det står i artikeln om man läser den:

Men hur hör detta ihop med påståendet?

Man byter ut en bitmap-bildfil med en logo... kanske något ytterligare(?) och startar sedan om datorn.
Är det något steg inblandat som kräver att man faktiskt är där och rör datorn?

Jag är intresserad av att veta vilka möjligheter eller risker det skapar. Försökte följa länkarna i artikeln men hittade inga konkreta exempel på hur eskaleringen såg ut när väl koden körts.

Imponerande produkt att skapa, måste vara duktiga utvecklare inblandade även om det kräver fysisk tillgång och kan säkert användas för att skapa ett användbart verktyg men kändes lite tunt med info vad man vill komma till...
Låter som man kunde skapa ett verktyg för at logga in i ett Linux-system utan autentisering på ett system med lösenordsskyddad grub och låst boot order, vilken hade varit ganska nimt när man är i fält. Ganska niche dock så måste finnas med attackvinklar som jag missar, kan man ta med sig kod in och köra på kernelnivå under drift?

Är det bara UEFI från Insyde som är påverkad denna gången?

LogoFAIL drabbade tidigare lång fler:
https://arstechnica.com/security/2023/12/just-about-every-win...

De som inte patchat sin UEFI tidigare lär fortfarande vara oskyddade.

Det specifika exemplet som hittats verkar ha varit för Lenovo-datorer (med Insyde-baserad UEFI-kod), men man kan ju se detta som ett proof-of-concept för en bredare kategori av attacker som skulle gå att göra på andra datorer också som har motsvarande kända defekter i koden.

Det verkar väl mest som att det är lite pill med alla detaljerna som ska stämma, så det är inte så enkelt att bygga en universell exploit för alla kända varianter... kanske kommer det med, de måste börja någonstans antar jag...

Fast kanske då snarare att droppa olika bitmappar bereonde på vilken miljö man är i...(?)

Nej, du byter inte ut och "startar om datorn", du behöver antingen applicera en firmware update där du utnyttjar ett hål genom att modifiera den OSIGNERADE delen av firmware uppdateringen ELLER manipulera bildfilen på EFI system partitionen, den senare är inte synlig från ett redan startat system och behöver göras ute från EFI-bios. Det är typiskt tillverkare som Lenovo, HP och liknande som använder sådant. Det är således rätt fastslaget att du behöver fysisk tillgång till maskinen och tillräckligt med tid för att utföra dessa moment.

Du menar att ingen kan skriva en fil till ESP bara för att dess innehåll inte visas för användaren i Windows?
Jag tycker det låter sjukt osannolikt. Dels så lät det konkreta scenariot som att Windows inte var inblandat, men även i ett bredare perspektiv så går det väl rimligen att göra även i Windows givet att man har rättigheter, med eller utan Windows hjälp?

Edit: omformulering för att förtydliga vad jag faktiskt ville åt, blev rätt överraskad av påståendet

Edit2: Här finns ett tredjepartsverktyg som kan agera proof-of-concept på att det går att skriva till ESP även i Windows: https://www.easyuefi.com/faq/en-US/explore-and-write-efi-syst... (menar förstås inte att just detta verktyg behöver användas, utan just att "problemet" mer är att Windows inte ger användaren ett gränssnitt för att pillra på ESP-innehållet, snarare än att det inte går att göra... så skurkarna kan ju bara ta med sig sin egen kodsnutt för att dumpa en fil i ESP)

Mycket möjligt att det även går att trixa till det utan extra verktyg. Typ https://superuser.com/a/1120717/241293 men har inte validerat att det fungerar korrekt i aktuell version också.

Satt själv och bytte Boot-bilder i BIOS tidigare, så att "attackera" eller ladda upp filer på någon populär forumsida känns inte speciellt långsökt. Lite som all malware som sprids via spelmods.

Anledningen att det finns en bildfil inblandad handlar ju snarare om datortillverkare med "stort ego". De vill att det står Lenovo eller Dell eller Asus eller vad det nu må vara över hela skärmen när datorn startar.

Och själva problemet som artikeln handlar om är att om någon/något byter ut bildfilen mot en elak "bildfil" så kan man få kod inbakad i filen att köras under bootprocessen innan operativsystemet ens startat, vilket öppnar för att runda allehanda säkerhetsfunktionalitet på ett sätt som inte "ska" vara möjligt.

Hotet är ju inte att datorns ägare själv avsiktligt byter filen, utan snarare att detta är ett sätt att eskalera en redan lyckad attack till att även kunna köra elak kod inne i UEFI, när det ska visa den där bilden där det står Lenovo, innan operativsystemet ens startats.
I exemplet som artikeln handlar specifikt om för att kunna ändra SecureBoot-inställningarna utan att användaren får någon prompt (eller för den delen om datorn är nedlåst så att användaren inte ens ska kunna godkänna sådana ändringar på egen hand).