LogoFAIL, ecco le vulnerabilità che possono compromettere UEFI

Sfruttando le immagini utilizzate per mostrare i loghi dei produttori hardware nelle fasi di avvio di un sistema potrebbe essere possibile installare un malware con persistenza che passerebbe inosservato
di Andrea Bai pubblicata il 04 Dicembre 2023, alle 17:01 nel canale SicurezzaLogoFAIL è il nome dato ad un insieme di vulnerabilità di sicurezza che possono consentire ad un aggressore di compromettere le immagini presenti nel codice UEFI di vari vendor, così da sfruttarle per dirottare la catena di esecuzione del processo di avvio e distribuire bootkit. Si tratta di un problema a carico delle librerie di parsing delle immagini, usate dai produttori di sistemi e hardware per mostrare il logo durante la fase di avvio e interessa le architetture x86 e ARM.
Non si tratta di un concetto nuovo in quanto l'abuso di parser di immagini per compromettere l'UEFI di un sistema è una tecnica già dimostrata nel 2009 quando due ricercatori, Rafal Wojtczuk e Alexander Tereshkin, hanno sfruttato un bug di un parser BMP per compromettere il BIOS con un malware capace di mantenere persistenza.
Le vulnerabilità LogoFAIL sono state scoperte dai ricercatori di Binarly nel corso di un progetto di ricerca per verificare quali fossero le superfici di attacco nei componenti di parsing delle immagini in relazione a un firmware UEFI obsoleto o personalizzato. Durante il progetto è stato scoperto che un aggressore potrebbe memorizzare un'immagine o un logo dannoso nella partizione EFI System o in sezioni non firmate di un aggiornamento del firmware.
Nel momento in cui le immagini vengono elaborate durante le fasi di avvio, è possibile che la vulnerabilità venga attivata assieme all'esecuzione di un payload controllato dall'aggressore per dirottare il flusso di esecuzione e scavalcare così quelle funzionalità di sicurezza come ad esempio Boot Guard di Intel, Hardware-Validated Boot di AMD o TrustZone-based Secure Boot di ARM.
Riuscire ad installare un malware in questo modo significa garantirsi la persistenza sul sistema in aggiunta alla possibilità di passare pressoché completamente inosservati. Il problema di LogoFAIL è che consente di non compromettere l'integrità in fase di esecuzione, dato che non è necessario modificare il bootloader o il firmware, metodi già utilizzati con altre tecniche di attacco (come ad esempio il famigerato BlackLotus).
LogoFAIL, inoltre, può interessare più produttori diversi dal momento che non dipende da un elemento hardware specifico. I ricercatori hanno già avuto modo di verificare che centinaia di dispositivi Intel, Acer, Lenovo e molti altri produttori sono potenzialmente vulnerabili, assieme ai firmware UEFI di AMI, Insyde e Phoenix.
Quello che è bene tenere a mente, però, è che la portata esatta di LogoFAIL deve essere ancora determinata, e le informazioni complete di dettagli tecnici sulle vulnerabilità LogoFAIL saranno mostrate in occasione della Black Hat Europe di Londra il prossimo 6 dicembre. I ricercatori hanno comunque già informato i principali produttori di sistemi e le tre società produttrici di firmware UEFI.
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCIoè non penso che cambiare l'immagine del logo sia una cosa banale da fare visto che cmq per toccare l'UEFI devi comunque bypassare UAC o sbaglio?
no
Certo, perché non dovrebbero esserci? Uefi non ha mica l'esclusiva...
tipo quelle con coreboot
ma dall'articolo non capisco: questo bug può essere sfruttato anche da remoto, oppure c'è bisogno che l'aggressore abbia un accesso fisico al dispositivo?
Provo a spiegarmi meglio: l'immagine dannosa la può caricare solo flashando un firmware contraffatto, oppure con un banale comando di copia?
Grazie !
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".