Z wielu raportów dostępnych obecnie w sieci wynika, że praktycznie wszystkie komputery z systemem Windows lub Linux a tym samym i hackintosche, są narażone na nowy typ ataku hakerskiego o nazwie LogoFAIL. Atak ten jest niezwykle skuteczny, ponieważ przepisuje logo płyty głównej, które zwykle pojawia się podczas uruchamiania systemu po wykonaniu testu POST (stąd nazwa „LogoFAIL”), a zdarza się to na tyle wcześne, że omija wszystkie środki bezpieczeństwa mające na celu zapobieganie atakom hakerskim, w tym typu bootkit. Atak ma miejsce, gdy po udanym teście POST trwa faza „Driver Execution Environment” (DXE). DXE jest odpowiedzialny za ładowanie usług rozruchowych i wykonawczych, inicjowanie procesora, chipsetu i innych komponentów w odpowiedniej kolejności. LogoFAIL zastępuje logo startowe UEFI exploitem. W następstwie tego ataku możliwe jest uruchomienie złośliwego kodu, co niesie za sobą poważne zagrożenie. Ze względu na sposób, w jaki LogoFAIL zastępuje logo startowe w UEFI, exploit może zostać użyty na dowolnej platformie wykorzystującej procesory Intel, AMD lub ARM z dowolnym systemem operacyjnym Windows, Linux lub macOS.
LogoFAIL wykorzystuje tę lukę w celu ominięcia wszystkich rozwiązań bezpieczeństwa wdrażanych przez procesor, system operacyjny i oprogramowanie zabezpieczające innych firm jak antywirusowe. Ponieważ exploit nie jest przechowywany na dysku, wyeliminowanie infekcji jest niemożliwe nawet po ponownym sformatowaniu dysku startowego. Ten exploit na poziomie UEFI może później zainstalować bootkit bez zatrzymywania go przez jakąkolwiek warstwę zabezpieczeń – co czyni go bardzo niebezpiecznym i bardzo skutecznym mechanizmem. Problem dotyczy każdej płyty głównej korzystającej z UEFI, czyli praktycznie wszystkich jakie używamy w hackintoshach. Płyty główne, które wykorzystują BIOS AMI, Insyde i Phoenix trzeba będzie updatować nowym BIOSem.
Komputery Mac i niektóre wstępnie zbudowane komputery PC są bezpieczne. Wielu producentów OEM takich jak Dell, nie pozwala na zmianę swoich logo w UEFI — a ich pliki obrazów są chronione przez Image Boot Guard, dlatego systemy te są odporne na ten exploit. Komputery Mac, których sprzęt i oprogramowanie są opracowywane wewnętrznie przez firmę Apple, mają obrazy logo zakodowane na stałe w UEFI i są podobnie chronione. Dotyczy to również komputerów Mac wyposażonych w procesory Intel.
Zalecamy więc instalację BIOS z modyfikacją likwidującą tą lukę. W moim przypadku dla Gigabyte Z390 M GAMING był to BIOS F10 i nie napotkałem żadnych problemów z instalacją. Należy jednak wcześniej przypomnieć sobie jakie ustawienia były konieczne albo zalecane dla macOS. Warto posiadać wydruk ustawień BIOS.
AUTOR @A.M. NOGLIK / 25-3-2024