LogoFAIL is een reeks kwetsbaarheden die van invloed zijn op verschillende beeldanalysebibliotheken die in UEFI worden gebruikt
Een paar dagen geleden, Binaire onderzoekers onthulden, via een blogpost, een reeks kwetsbaarheden in de beeldanalysecode die wordt gebruikt de firmware UEFI die gevolgen hebben voor Windows- en Linux-systemen, zowel x86- als ARM-gebaseerde apparaten. De kwetsbaarheden worden genoemd collectief LogoFAIL omdat ze voorkomen in UEFI-beeldanalysatoren die het logo van de fabrikant weergeven wanneer het systeem opstart.
Kwetsbaarheid komt voort uit de injectie van afbeeldingsbestanden in de EFI-systeempartitie (ESP), een cruciaal onderdeel van het opstartproces. Hoewel de kwetsbaarheden geen directe invloed hebben op de integriteit van de runtime, openen ze de deur voor aanhoudende aanvallen doordat malware in het systeem kan worden opgeslagen.
Over LogoFAIL
Binaire onderzoekers Ze vermelden dat de kwetsbaarheden zijn geïdentificeerd tijdens de analyse van Lenovo-firmware gebouwd op platforms van Insyde, AMI en Phoenix, maar ook firmware van Intel en Acer werden als potentieel kwetsbaar genoemd.
Het probleem van kwetsbaarheid komt door het feit dat de meeste pc-fabrikanten Ze gebruiken UEFI, ontwikkeld door een handvol bedrijven Bekend als Independent BIOS Vendors (IBV) waarmee computerfabrikanten de firmware kunnen aanpassen, zodat hun eigen logo en andere merkelementen op het computerscherm worden weergegeven tijdens de eerste opstartfase.
Firmware Moderne UEFI bevat afbeeldingsparsers voor afbeeldingen in verschillende formaten verschillend (BMP, GIF, JPEG, PCX en TGA), waardoor de aanvalsvector aanzienlijk wordt uitgebreid en dus de mogelijkheid dat er een kwetsbaarheid doorheen glipt. Het Binarly-team heeft zelfs 29 problemen gevonden in de beeldparsers die worden gebruikt in de firmware van Insyde, AMI en Phoenix, waarvan er 15 kunnen worden misbruikt voor het uitvoeren van willekeurige code.
"Deze aanvalsvector kan de aanvaller een voordeel geven door de meeste eindpuntbeveiligingsoplossingen te omzeilen en een onopvallende firmware-bootkit te leveren die blijft bestaan in een ESP-partitie of firmware-capsule met een aangepast logo-afbeelding,"
Het beveiligingslek ontstaat door het injecteren van speciaal vervaardigde afbeeldingsbestanden, dat lokale geprivilegieerde toegang tot de ESP-partitie kan bieden om UEFI-beveiligingsfuncties uit te schakelen, de UEFI-opstartvolgorde kan wijzigen en daardoor een aanvaller op afstand toegang tot het systeem kan geven of een aanvaller fysieke toegang kan geven tot een doelwit.
Als zodanig, Deze kwetsbaarheden kunnen de veiligheid van het hele systeem in gevaar brengen, waardoor “sub-OS”-beveiligingsmaatregelen, zoals elk type veilig opstarten, ineffectief worden, inclusief Intel Boot Guard. Dit niveau van compromis betekent dat aanvallers diepgaande controle kunnen krijgen over getroffen systemen.
"In sommige gevallen kan de aanvaller de logo-aanpassingsinterface van de leverancier gebruiken om deze kwaadaardige afbeeldingen te uploaden."
Dit nieuwe risico baart gebruikers en organisaties grote zorgen Ze vertrouwen op apparaten van grote fabrikanten zoals Intel, Acer, Lenovo en UEFI-firmwareleveranciers zoals AMI, Insyde en Phoenix.
Tot nu toe is het moeilijk om de ernst te bepalen, omdat er geen publieke exploit is gepubliceerd en sommige van de nu publieke kwetsbaarheden anders zijn beoordeeld door de Binarly-onderzoekers die de LogoFAIL-kwetsbaarheden hebben ontdekt.
De onthulling markeert de eerste publieke demonstratie van gerelateerde aanvalsoppervlakken met grafische beeldanalysatoren ingebed in de UEFI-systeemfirmware sinds 2009, toen onderzoekers Rafal Wojtczuk en Alexander Tereshkin presenteerden hoe een BMP-beeldparserbug kon worden uitgebuit voor persistentie van malware.
In tegenstelling tot BlackLotus of BootHole is het vermeldenswaard dat LogoFAIL de integriteit van de runtime niet verbreekt door de bootloader of de firmwarecomponent te wijzigen.
Tenslotte als u er meer over wilt wetenkunt u de details in het volgende link.