LogoFAIL, ecco le vulnerabilità che possono compromettere UEFI

LogoFAIL, ecco le vulnerabilità che possono compromettere UEFI

Sfruttando le immagini utilizzate per mostrare i loghi dei produttori hardware nelle fasi di avvio di un sistema potrebbe essere possibile installare un malware con persistenza che passerebbe inosservato

di pubblicata il , alle 17:01 nel canale Sicurezza
 

LogoFAIL è il nome dato ad un insieme di vulnerabilità di sicurezza che possono consentire ad un aggressore di compromettere le immagini presenti nel codice UEFI di vari vendor, così da sfruttarle per dirottare la catena di esecuzione del processo di avvio e distribuire bootkit. Si tratta di un problema a carico delle librerie di parsing delle immagini, usate dai produttori di sistemi e hardware per mostrare il logo durante la fase di avvio e interessa le architetture x86 e ARM.

Non si tratta di un concetto nuovo in quanto l'abuso di parser di immagini per compromettere l'UEFI di un sistema è una tecnica già dimostrata nel 2009 quando due ricercatori, Rafal Wojtczuk e Alexander Tereshkin, hanno sfruttato un bug di un parser BMP per compromettere il BIOS con un malware capace di mantenere persistenza.

Le vulnerabilità LogoFAIL sono state scoperte dai ricercatori di Binarly nel corso di un progetto di ricerca per verificare quali fossero le superfici di attacco nei componenti di parsing delle immagini in relazione a un firmware UEFI obsoleto o personalizzato.  Durante il progetto è stato scoperto che un aggressore potrebbe memorizzare un'immagine o un logo dannoso nella partizione EFI System o in sezioni non firmate di un aggiornamento del firmware.

Nel momento in cui le immagini vengono elaborate durante le fasi di avvio, è possibile che la vulnerabilità venga attivata assieme all'esecuzione di un payload controllato dall'aggressore per dirottare il flusso di esecuzione e scavalcare così quelle funzionalità di sicurezza come ad esempio Boot Guard di Intel, Hardware-Validated Boot di AMD o TrustZone-based Secure Boot di ARM.

Riuscire ad installare un malware in questo modo significa garantirsi la persistenza sul sistema in aggiunta alla possibilità di passare pressoché completamente inosservati. Il problema di LogoFAIL è che consente di non compromettere l'integrità in fase di esecuzione, dato che non è necessario modificare il bootloader o il firmware, metodi già utilizzati con altre tecniche di attacco (come ad esempio il famigerato BlackLotus).

LogoFAIL, inoltre, può interessare più produttori diversi dal momento che non dipende da un elemento hardware specifico. I ricercatori hanno già avuto modo di verificare che centinaia di dispositivi Intel, Acer, Lenovo e molti altri produttori sono potenzialmente vulnerabili, assieme ai firmware UEFI di AMI, Insyde e Phoenix

Quello che è bene tenere a mente, però, è che la portata esatta di LogoFAIL deve essere ancora determinata, e le informazioni complete di dettagli tecnici sulle vulnerabilità LogoFAIL saranno mostrate in occasione della Black Hat Europe di Londra il prossimo 6 dicembre. I ricercatori hanno comunque già informato i principali produttori di sistemi e le tre società produttrici di firmware UEFI.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Phoenix Fire04 Dicembre 2023, 17:32 #1
attacco interessante, quello che mi manca è quanto sia facile realizzarlo
CIoè non penso che cambiare l'immagine del logo sia una cosa banale da fare visto che cmq per toccare l'UEFI devi comunque bypassare UAC o sbaglio?
Sandro kensan04 Dicembre 2023, 17:46 #2
Ci sono schede madri che non hanno l'UEFI?
coschizza04 Dicembre 2023, 17:53 #3
Originariamente inviato da: Sandro kensan
Ci sono schede madri che non hanno l'UEFI?


no
marcram04 Dicembre 2023, 17:57 #4
Originariamente inviato da: Sandro kensan
Ci sono schede madri che non hanno l'UEFI?

Certo, perché non dovrebbero esserci? Uefi non ha mica l'esclusiva...
Opteranium04 Dicembre 2023, 20:53 #5
Originariamente inviato da: Sandro kensan
Ci sono schede madri che non hanno l'UEFI?

tipo quelle con coreboot
bonmario30 Dicembre 2023, 17:30 #6
Scusate,
ma dall'articolo non capisco: questo bug può essere sfruttato anche da remoto, oppure c'è bisogno che l'aggressore abbia un accesso fisico al dispositivo?
Provo a spiegarmi meglio: l'immagine dannosa la può caricare solo flashando un firmware contraffatto, oppure con un banale comando di copia?

Grazie !

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^