Sikkerhedsforskere har afsløret kritiske sårbarheder i Unified Extensible Firmware Interface (UEFI) kode, der bruges af forskellige uafhængige firmware/BIOS-leverandører (IBV'er). Disse UEFI sårbarheder, samlet navngivet LogoFAIL af Binarly, udgør en alvorlig trussel, da de kan udnyttes af trusselsaktører til at levere ondsindede nyttelaster, omgå sikker opstart, Intel Boot Guard, og andre sikkerhedsteknologier designet til at beskytte opstartsprocessen.
LogoFAIL-sårbarhederne
sårbarhederne identificeret af Binarly inkluderer en heap-baseret bufferoverløbsfejl og en out-of-bounds læst i billedparsingsbibliotekerne indlejret i UEFI-firmwaren. Disse fejl kan udnyttes under parsing af injicerede logobilleder, gør det muligt for trusselsaktører at udføre nyttelaster, der kaprer systemets flow og omgår sikkerhedsmekanismer.
Påvirkning og udnyttelse
Et af de alarmerende aspekter ved LogoFAIL er dets potentiale til at omgå sikkerhedsløsninger og levere vedvarende malware under opstartsfasen. Trusselaktører kan opnå dette ved at injicere en ondsindet logobilledfil i EFI-systempartitionen. I modsætning til tidligere trusler som BlackLotus eller BootHole, LogoFAIL kompromitterer ikke runtime-integriteten ved at ændre boot-indlæseren eller firmware-komponenten.
Attack Vector og Impact
Denne nyopdagede angrebsvektor giver ondsindede aktører en betydelig fordel ved at omgå de fleste endpoint-sikkerhedsløsninger. Ved at implementere et stealth-firmware-bootkit med et ændret logobillede, trusselsaktører kunne få rodfæstet kontrol over kompromitterede værter, giver mulighed for udrulning af vedvarende malware, der fungerer diskret.
Sårbarhederne i UEFI-firmwaren påvirker store IBV'er såsom AMI, Inside, og Phoenix, påvirker en bred vifte af enheder i forbruger- og virksomhedskvalitet. Producenter inklusive Intel, Acer, og Lenovo er blandt de berørte, gør LogoFAIL til et alvorligt og udbredt sikkerhedsproblem.
Afsløringen af disse sårbarheder markerer den første offentlige demonstration af angrebsflader relateret til grafiske billedparsere indlejret i UEFI-systemfirmware siden 2009. Denne periode fremhæver et betydeligt tilbageskridt med hensyn til at løse sikkerhedsproblemer i forbindelse med parsing af grafiske billeder, understreger behovet for øget årvågenhed ved sikring af firmwarekomponenter.
Konklusion
LogoFAIL-sårbarhederne understreger det presserende behov for robuste sikkerhedsforanstaltninger i firmwareudvikling. Da millioner af enheder på tværs af forskellige producenter er i fare, Der kræves øjeblikkelig handling for at rette disse sårbarheder og beskytte systemer mod potentielle angreb. Sikkerhedssamfundet afventer den detaljerede afsløring af det heap-baserede bufferoverløb og læsefejl uden for grænserne senere på ugen på Black Hat Europe-konferencen, i håb om, at disse oplysninger vil hjælpe med at befæste systemer mod denne nye trussel.