LogoFAIL, une série de vulnérabilités dans les analyseurs d'images UEFI

Darkcrizt

Minutes 4

LogoFAIL

LogoFAIL est un ensemble de vulnérabilités qui affectent différentes bibliothèques d'analyse d'images utilisées dans UEFI

Il y a quelques jours, Les chercheurs binaires ont révélé, via un article de blog, une série de vulnérabilités dans le code d'analyse d'image utilisé dans le firmware UEFI affectant les systèmes Windows et Linux, à la fois les appareils x86 et ARM. Les vulnérabilités sont appelées collectivement LogoFAIL car ils existent dans les analyseurs d'images UEFI qui affichent le logo du fabricant au démarrage du système.

Vulnérabilité résulte de l'injection de fichiers image dans la partition système EFI (ESP), un composant essentiel du processus de démarrage. Bien que les vulnérabilités n’affectent pas directement l’intégrité du runtime, elles ouvrent la porte à des attaques persistantes en permettant aux logiciels malveillants d’être stockés dans le système.

À propos de LogoFAIL

Chercheurs binaires Ils mentionnent que les vulnérabilités ont été identifiées lors de l'analyse du firmware Lenovo construit sur des plates-formes d'Insyde, AMI et Phoenix, mais les micrologiciels d'Intel et d'Acer ont également été mentionnés comme potentiellement vulnérables.

Le problème de la vulnérabilité est dû au fait que la plupart des fabricants de PC Ils utilisent l'UEFI développé par une poignée d'entreprises Connus sous le nom de fournisseurs de BIOS indépendants (IBV), ils permettent aux fabricants d'ordinateurs de personnaliser le micrologiciel, soit pour afficher leur propre logo et d'autres éléments de marque sur l'écran de l'ordinateur pendant la phase de démarrage initiale.

Micrologiciel L'UEFI moderne contient des analyseurs d'images pour les images dans différents formats différents (BMP, GIF, JPEG, PCX et TGA), ce qui élargit considérablement le vecteur d'attaque et donc la possibilité qu’une vulnérabilité passe à travers. En fait, l'équipe Binarly a trouvé 29 problèmes dans les analyseurs d'images utilisés dans les micrologiciels Insyde, AMI et Phoenix, dont 15 étaient exploitables pour l'exécution de code arbitraire.

"Ce vecteur d'attaque peut donner un avantage à l'attaquant en contournant la plupart des solutions de sécurité des points finaux et en fournissant un kit de démarrage furtif du micrologiciel qui persistera dans une partition ESP ou une capsule de micrologiciel avec une image de logo modifiée."

La vulnérabilité provient de l'injection de fichiers image spécialement conçus, qui peut fournir un accès privilégié local à la partition ESP pour désactiver les fonctionnalités de sécurité UEFI, modifier l'ordre de démarrage UEFI et donc permettre à un attaquant d'accéder à distance au système ou permettre à un attaquant d'obtenir un accès physique depuis une cible.

En tant que tel, Ces vulnérabilités peuvent compromettre la sécurité de l'ensemble du système, rendant inefficaces les mesures de sécurité « sous-OS », telles que tout type de démarrage sécurisé, y compris Intel Boot Guard. Ce niveau de compromission signifie que les attaquants peuvent prendre un contrôle approfondi sur les systèmes affectés.

"Dans certains cas, l'attaquant peut utiliser l'interface de personnalisation du logo fournie par le fournisseur pour télécharger ces images malveillantes."

Ce nouveau risque soulève une préoccupation majeure pour les utilisateurs et les organisations Ils s'appuient sur des appareils de grands fabricants tels qu'Intel, Acer, Lenovo et des fournisseurs de micrologiciels UEFI tels qu'AMI, Insyde et Phoenix.

Jusqu'à présent, il est difficile d'en déterminer la gravité, car aucun exploit public n'a été publié et certaines des vulnérabilités désormais publiques ont été évaluées différemment par les chercheurs de Binarly qui ont découvert les vulnérabilités LogoFAIL.

Cette divulgation marque la première manifestation publique des surfaces d'attaque associées avec des analyseurs d'images graphiques intégré dans le micrologiciel du système UEFI depuis 2009, lorsque les chercheurs Rafal Wojtczuk et Alexander Tereshkin ont présenté comment un bug de l'analyseur d'images BMP pourrait être exploité pour la persistance des logiciels malveillants.

Contrairement à BlackLotus ou BootHole, il convient de noter que LogoFAIL ne rompt pas l'intégrité du runtime en modifiant le chargeur de démarrage ou le composant du micrologiciel.

Enfin, si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.