BootKitty e LogoFAIL, accoppiata esplosiva per compromettere sistemi Linux

BootKitty, il primo bootkit UEFI specificamente progettato per colpire i sistemi Linux di cui vi abbiamo parlato nei giorni scorsi, è in grado di sfruttare la vulnerabilità LogoFAIL (CVE-2023-40238) per infettare computer con firmware vulnerabile. LogoFAIL è un insieme di vulnerabilità di sicurezza, individuate proprio un anno fa, che consentono di compromettere il processo di avvio di un sistema e installare, appunto, bootkit.

I ricercatori ESET, che hanno individuato e analizzato BootKitty, hanno più di recente individuato che il malware è stato sviluppato come progetto di ricerca presso un'università sudcoreana nell'ambito del programma BoB ("Best of the Best"). Bootkitty rappresenta attualmente più un prototipo in fase di sviluppo che una minaccia diffusa, funzionando solo su specifiche versioni di Ubuntu.

Con l'abbinamento a LogoFAIL, che sfrutta le falle nel codice di analisi delle immagini del firmware UEFI utilizzando file BMP malevoli ('logofail.bmp' e 'logofail_fake.bmp') inseriti nella partizione di sistema EFI, BootKitty può aggirare le protezioni SecureBoot e iniettare certificati non autorizzati per prendere residenza sul sistema.

L'analisi del file bootkit.efi ha rivelato che i dispositivi Lenovo basati su Insyde sono i più vulnerabili, anche se il malware potrebbe potenzialmente colpire qualsiasi dispositivo non aggiornato contro LogoFAIL. Tra i modelli più esposti figurano diversi modelli di portatili della serie IdeaPad, Legion e Yoga.

Binarly, l'azienda che ha scoperto LogoFAIL nel novembre 2023 e che ha individuato l'uso congiunto di LogoFAIL e BootKitty, ha lanciato l'allarme sul fatto che molti dispositivi rimangono ancora vulnerabili a una o più varianti di queste vulnerabilità, nonostante sia trascorso più di un anno dalla prima segnalazione.

Per mitigare i rischi su dispositivi privi di aggiornamenti di sicurezza i ricercatori suggeriscono di limitare l'accesso fisico, abilitare il Secure Boot, proteggere con password le impostazioni UEFI/BIOS, disabilitare l'avvio da supporti esterni e scaricare gli aggiornamenti del firmware solo dal sito ufficiale del produttore.

Secondo quanto riferito dai ricercatori del programma BoB a ESET, l'obiettivo principale del progetto è quello di "elevare il livello di consapevolezza all'interno della comunità della sicurezza sui potenziali rischi e incoraggiare misure proattive per prevenire minacce simili" ma purtroppo "pochi campioni di bootkit sono stati divulgati prima della presentazione pianificata alla conferenza".