I ricercatori di sicurezza hanno scoperto vulnerabilità critiche nella Unified Extensible Firmware Interface (UEFI) codice utilizzato da vari fornitori indipendenti di firmware/BIOS (IBV). Queste Vulnerabilità UEFI, chiamati collettivamente LogoFAIL da Binarly, rappresentano una seria minaccia in quanto possono essere sfruttati dagli autori delle minacce per fornire payload dannosi, ignorare l'avvio sicuro, Protezione avvio Intel, e altre tecnologie di sicurezza progettate per proteggere il processo di avvio.
Le vulnerabilità di LogoFAIL
le vulnerabilità identificato di Binarly includono un difetto di buffer overflow basato su heap e una lettura fuori limite nelle librerie di analisi delle immagini integrate nel firmware UEFI. Questi difetti possono essere sfruttati durante l'analisi delle immagini del logo iniettate, consentendo agli autori delle minacce di eseguire carichi utili che dirottano il flusso del sistema e aggirano i meccanismi di sicurezza.
Impatto e sfruttamento
Uno degli aspetti allarmanti di LogoFAIL è la sua capacità di aggirare le soluzioni di sicurezza e diffondere malware persistente durante la fase di avvio. Gli autori delle minacce possono ottenere questo risultato inserendo un file immagine del logo dannoso nella partizione di sistema EFI. A differenza delle minacce precedenti come BlackLotus o BootHole, LogoFAIL non compromette l'integrità del runtime modificando il boot loader o il componente firmware.
Vettore di attacco e impatto
Questo vettore di attacco appena scoperto offre agli autori malintenzionati un vantaggio significativo nell’aggirare la maggior parte delle soluzioni di sicurezza degli endpoint. Distribuendo un bootkit firmware invisibile con un'immagine del logo modificata, gli autori delle minacce potrebbero acquisire un controllo consolidato sugli host compromessi, consentendo la distribuzione di malware persistente che opera in modo discreto.
Le vulnerabilità nel firmware UEFI interessano i principali IBV come AMI, Interno, e Fenice, incidendo su un’ampia gamma di dispositivi consumer e di livello aziendale. Produttori tra cui Intel, Acer, e Lenovo sono tra quelli colpiti, rendendo LogoFAIL un problema di sicurezza grave e diffuso.
La divulgazione di queste vulnerabilità segna la prima dimostrazione pubblica di superfici di attacco relative ai parser di immagini grafiche incorporati nel firmware del sistema UEFI da quando 2009. Questo periodo evidenzia una significativa lacuna nell'affrontare i problemi di sicurezza legati all'analisi delle immagini grafiche, sottolineando la necessità di una maggiore vigilanza nella protezione dei componenti firmware.
Conclusione
Le vulnerabilità LogoFAIL sottolineano la pressante necessità di robuste misure di sicurezza nello sviluppo del firmware. Poiché milioni di dispositivi di vari produttori sono a rischio, è necessaria un’azione immediata per correggere queste vulnerabilità e salvaguardare i sistemi da potenziali attacchi. La comunità della sicurezza attende la divulgazione dettagliata del buffer overflow basato sull'heap e dei difetti di lettura fuori limite più avanti questa settimana alla conferenza Black Hat Europe, sperando che queste informazioni possano aiutare a rafforzare i sistemi contro questa minaccia emergente.