Sicherheitsforscher haben kritische Schwachstellen im Unified Extensible Firmware Interface aufgedeckt (UEFI) Code, der von verschiedenen unabhängigen Firmware-/BIOS-Anbietern verwendet wird (IBVs). Diese UEFI-Schwachstellen, von Binarly gemeinsam LogoFAIL genannt, stellen eine ernsthafte Bedrohung dar, da sie von Bedrohungsakteuren ausgenutzt werden können, um bösartige Payloads zu übermitteln, Secure Boot umgehen, Intel Boot Guard, und andere Sicherheitstechnologien zum Schutz des Bootvorgangs.
Die LogoFAIL-Schwachstellen
die Sicherheitslücken identifiziert von Binarly enthalten einen Heap-basierten Pufferüberlauffehler und einen außerhalb der Grenzen liegenden Lesevorgang in den in die UEFI-Firmware eingebetteten Bildanalysebibliotheken. Diese Fehler können beim Parsen eingefügter Logobilder ausgenutzt werden, Dadurch können Bedrohungsakteure Payloads ausführen, die den Systemfluss kapern und Sicherheitsmechanismen umgehen.
Auswirkungen und Ausbeutung
Einer der alarmierenden Aspekte von LogoFAIL ist das Potenzial, Sicherheitslösungen zu umgehen und während der Startphase persistente Malware zu verbreiten. Bedrohungsakteure können dies erreichen, indem sie eine schädliche Logo-Bilddatei in die EFI-Systempartition einschleusen. Im Gegensatz zu früheren Bedrohungen wie BlackLotus oder BootHole, LogoFAIL beeinträchtigt die Laufzeitintegrität nicht durch Änderungen am Bootloader oder der Firmware-Komponente.
Angriffsvektor und Auswirkung
Dieser neu entdeckte Angriffsvektor verschafft böswilligen Akteuren einen erheblichen Vorteil bei der Umgehung der meisten Endpunkt-Sicherheitslösungen. Durch die Bereitstellung eines Stealth-Firmware-Bootkits mit einem modifizierten Logo-Image, Bedrohungsakteure könnten eine tief verwurzelte Kontrolle über kompromittierte Hosts erlangen, Ermöglicht die Bereitstellung persistenter Malware, die diskret agiert.
Die Schwachstellen in der UEFI-Firmware betreffen große IBVs wie AMI, Inside, und Phönix, Dies wirkt sich auf eine Vielzahl von Geräten der Verbraucher- und Unternehmensklasse aus. Hersteller einschließlich Intel, Acer, und Lenovo gehören zu den Betroffenen, Dies macht LogoFAIL zu einem schwerwiegenden und weit verbreiteten Sicherheitsrisiko.
Die Offenlegung dieser Schwachstellen stellt seitdem die erste öffentliche Demonstration von Angriffsflächen im Zusammenhang mit grafischen Bildparsern dar, die in die UEFI-Systemfirmware eingebettet sind 2009. Dieser Zeitraum verdeutlicht einen erheblichen Versäumnis bei der Bewältigung von Sicherheitsbedenken im Zusammenhang mit der Analyse grafischer Bilder, Betonung der Notwendigkeit erhöhter Wachsamkeit bei der Sicherung von Firmware-Komponenten.
Abschluss
Die LogoFAIL-Schwachstellen unterstreichen den dringenden Bedarf an robusten Sicherheitsmaßnahmen bei der Firmware-Entwicklung. Da Millionen von Geräten verschiedener Hersteller gefährdet sind, Es sind sofortige Maßnahmen erforderlich, um diese Schwachstellen zu schließen und die Systeme vor potenziellen Angriffen zu schützen. Die Sicherheitsgemeinschaft wartet auf die detaillierte Offenlegung der Heap-basierten Pufferüberlauf- und Out-of-Bounds-Lesefehler später in dieser Woche auf der Black Hat Europe-Konferenz, Wir hoffen, dass diese Informationen dazu beitragen werden, Systeme gegen diese aufkommende Bedrohung zu stärken.