LogoFAIL, una sèrie de vulnerabilitats als analitzadors d'imatges UEFI

Darkcrizt

4 minuts

LogoFAIL

LogoFAIL és un conjunt de vulnerabilitats que afecta diferents biblioteques d'anàlisi d'imatges utilitzades a UEFI

Fa pocs dies, els investigadors de Binarly van donar a conèixer, mitjançant una publicació de bloc, una sèrie de vulnerabilitats en el codi d'anàlisi d'imatges utilitzat a el firmware UEFI que afecten els sistemes Windows i Linux, tant en dispositius basats en x86 com en ARM. Les vulnerabilitats s'anomenen col·lectivament LogoFAIL perquè hi ha en analitzadors d'imatges UEFI que mostren el logotip del fabricant quan s'inicia el sistema.

la vulnerabilitat sorgeix de la injecció de fitxers d'imatge a la partició del sistema EFI (ESP), un component crític del procés d'arrencada. Si bé les vulnerabilitats no afecten directament la integritat del temps d'execució, obren la porta a atacs persistents en permetre que el programari maliciós s'emmagatzemi dins del sistema.

Sobre LogoFAIL

Els investigadors de Binarly esmenten que les vulnerabilitats es van identificar durant l'anàlisi del microprogramari de Lenovo construït en plataformes d'Insyde, AMI i Phoenix, però també es van esmentar firmware d'Intel i Acer com a potencialment vulnerables.

El problema de la vulnerabilitat es deu al fet que la majoria dels fabricants de PC utilitzen UEFI desenvolupades per un grapat d'empreses conegudes com a proveïdors de BIOS independents (IBV) els quals permeten als fabricants dordinadors personalitzar el firmware, ja sigui per mostrar el seu propi logotip i altres elements de marca a la pantalla de lordinador durant la fase inicial darrencada.

el firmware UEFI modern conté analitzadors d'imatges per a imatges en diversos formats diferents (BMP, GIF, JPEG, PCX i TGA), el que amplia significativament el vector d'atac i, per tant, la possibilitat que s'escapi una vulnerabilitat. De fet, l'equip de Binarly va trobar 29 problemes als analitzadors d'imatges utilitzats al firmware Insyde, AMI i Phoenix, dels quals 15 eren explotables per a l'execució de codi arbitrari

"Aquest vector d'atac pot donar a l'atacant un avantatge en eludir la majoria de les solucions de seguretat de terminals i lliurar un kit d'arrencada de microprogramari sigil·lós que persistirà en una partició ESP o càpsula de microprogramari amb una imatge de logotip modificada",

La vulnerabilitat sorgeix de la injecció de fitxers d'imatge especialment dissenyats, els quals poden brindar l'accés privilegiat local a la partició ESP per deshabilitar les funcions de seguretat UEFI, modificar l'ordre d'arrencada UEFI i per tant que un atacant accedeixi remotament al sistema o que un atacant obtingui accés físic d'un objectiu.

Com a tal, aquestes vulnerabilitats poden comprometre la seguretat de tot el sistema, fent que les mesures de seguretat «inferiors al sistema operatiu», com qualsevol tipus d'arrencada segura, siguin ineficaces, inclòs Intel Boot Guard. Aquest nivell de compromís vol dir que els atacants poden obtenir un control profund sobre els sistemes afectats.

"En alguns casos, l'atacant pot utilitzar la interfície de personalització del logotip proporcionada pel proveïdor per carregar aquestes imatges malicioses".

Aquest nou risc planteja una preocupació important per als usuaris i les organitzacions que depenen de dispositius dels principals fabricants, com Intel, Acer, Lenovo i proveïdors de microprogramari UEFI com AMI, Insyde i Phoenix.

Fins ara, és difícil determinar-ne la gravetat, ja que no s'ha publicat cap exploit públic i algunes de les vulnerabilitats ara públiques han estat qualificades de manera diferent pels investigadors de Binarly que van descobrir les vulnerabilitats LogoFAIL.

La divulgació marca la primera demostració pública de superfícies d'atac relacionades amb analitzadors d'imatges gràfiques integrats al firmware del sistema UEFI des del 2009, quan els investigadors Rafal Wojtczuk i Alexander Tereshkin van presentar com un error de l'analitzador d'imatges BMP podria explotar-se per a la persistència del malware.

A diferència de BlackLotus o BootHole, val la pena assenyalar que LogoFAIL no trenca la integritat del temps d'execució modificant el carregador d'arrencada o el component de microprogramari.

Finalment, si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls al següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.