BlackHat Europe 2023 - LogoFAIL: Security Implications of Image Parsing During System Boot

BlackHat USA 2009 - Attacking Intel® BIOS - PDF

0x01. 议题简介

《LogoFAIL: Security Implications of Image Parsing During System Boot》这个议题主要介绍 BIOS 启动时 Logo 图片解析相关的漏洞，顺便提及了 2009 年的一个类似的议题《Attacking Intel® BIOS》，也是 BIOS 启动时 BMP 解析导致的整数溢出漏洞。所以，作者也感叹 History Repeats Itself。

在漏洞挖掘过程中，攻击面的挖掘是一个很重要的点，如果能找到大家（厂商、安全研究员、攻击者）都没怎么关注过的攻击面，极有可能收获一波 Low Hanging Fruits。

0x02. Attacking Intel BIOS

2.1 研究思路

更新 BIOS 固件时，固件包必须有合法的数字签名，作者的思路是看看有没有不需要签名的数据，在这部分数据上做研究。而 BIOS 的 Logo 图片便满足这一条件，在启动的早期阶段，图片会被解析和展示，这就来到了经典的文件格式解析问题。

2.2 漏洞案例

解析 BMP 图片格式时，存在经典的整数溢出漏洞。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

EFI_STATUS ConvertBmpToGopBlt()
{
    // ......
    if (BmpHeader->CharB != 'B' || BmpHeader->CharM != 'M') {
        return EFI_UNSUPPORTED;
    }
    BltBufferSize = BmpHeader->PixelWidth * BmpHeader->PixelHeight
        * sizeof (EFI_GRAPHICS_OUTPUT_BLT_PIXEL);
    IsAllocated = FALSE;
    if (*GopBlt == NULL) {
        *GopBltSize = BltBufferSize;
        *GopBlt = EfiLibAllocatePool(*GopBltSize);
    }
    // ......
}

因为触发了整数溢出，会导致向目标缓冲区写入大量数据，直到访问到未映射的内存页，触发 Page Fault 异常。作者的利用思路是，在溢出的过程中改写 Page Fault Exception Handler，让其跳转到 BMP 图片中的执行 Shellcode。利用思路如下：

0x03. LogoFAIL

研究思路和前面是完全一致的，发现 UEFI 固件会解析如下图片格式：BMP、GIF、PNG、JPEG、PCX 以及 TGA。作者在仿真的环境下做了一些基于 LibAFL 的 Fuzzing。

3.1 漏洞案例

BMP 解析缓冲区下溢漏洞。

JPEG 解析内存破坏漏洞（未校验 Huffman Table 个数）。

PNG 解析整数溢出漏洞。

3.2 种子文件

PCX 是一种上古时期的文件格式，现在基本没人用了，作者在 Internet Archive 上找到了一个压缩包下载连接。

1

https://archive.org/details/Universe_Of_PCX_1700_PCX_Files

笔者在过去的工作中也做过 PCX Fuzzing，不过都是 Google 上找的少量零星的样本🤣。

0x04. 小结

攻击面挖掘是重点，老议题也值得回顾（可以开阔思路）。当然，LogoFAIL 中的研究也是有较高门槛的，在当前的国内环境下，一般的公司很可能是不会给这个时间去研究的。