Beveiligingsonderzoekers hebben kritieke kwetsbaarheden ontdekt in de Unified Extensible Firmware Interface (UEFI) code gebruikt door verschillende onafhankelijke firmware-/BIOS-leveranciers (IBV's). Deze UEFI-kwetsbaarheden, gezamenlijk LogoFAIL genoemd door Binarly, vormen een ernstige bedreiging omdat ze door bedreigingsactoren kunnen worden uitgebuit om kwaadaardige ladingen af te leveren, omzeil Secure Boot, Intel Bootguard, en andere beveiligingstechnologieën die zijn ontworpen om het opstartproces te beschermen.
De LogoFAIL-kwetsbaarheden
de beveiligingslekken geïdentificeerd door Binarly bevatten een heap-gebaseerde bufferoverflow-fout en een out-of-bounds-lezing in de beeldparseringsbibliotheken die zijn ingebed in de UEFI-firmware. Deze fouten kunnen worden uitgebuit tijdens het parseren van geïnjecteerde logo-afbeeldingen, waardoor bedreigingsactoren payloads kunnen uitvoeren die de stroom van het systeem kapen en beveiligingsmechanismen omzeilen.
Impact en exploitatie
Een van de alarmerende aspecten van LogoFAIL is het potentieel om beveiligingsoplossingen te omzeilen en persistente malware af te leveren tijdens de opstartfase. Bedreigingsactoren kunnen dit bereiken door een schadelijk logo-afbeeldingsbestand in de EFI-systeempartitie te injecteren. In tegenstelling tot eerdere bedreigingen zoals BlackLotus of BootHole, LogoFAIL brengt de runtime-integriteit niet in gevaar door de bootloader of de firmwarecomponent te wijzigen.
Aanvalsvector en impact
Deze nieuw ontdekte aanvalsvector geeft kwaadwillende actoren een aanzienlijk voordeel bij het omzeilen van de meeste eindpuntbeveiligingsoplossingen. Door een stealth-firmware-bootkit te implementeren met een aangepast logo-afbeelding, Bedreigingsactoren zouden diepgewortelde controle kunnen krijgen over gecompromitteerde hosts, waardoor de inzet van persistente malware mogelijk is die discreet werkt.
De kwetsbaarheden in UEFI-firmware treffen grote IBV's zoals AMI, Binnen, en Feniks, Dit heeft gevolgen voor een breed scala aan apparaten voor consumenten en ondernemingen. Fabrikanten waaronder Intel, Acer, en Lenovo behoren tot de getroffenen, waardoor LogoFAIL een ernstig en wijdverbreid beveiligingsprobleem wordt.
De openbaarmaking van deze kwetsbaarheden markeert de eerste publieke demonstratie van aanvalsoppervlakken gerelateerd aan grafische beeldparsers ingebed in UEFI-systeemfirmware sinds 2009. Deze periode wijst op een aanzienlijke achterstand in het aanpakken van beveiligingsproblemen met betrekking tot het parseren van grafische afbeeldingen, waarbij de nadruk wordt gelegd op de noodzaak van verhoogde waakzaamheid bij het beveiligen van firmwarecomponenten.
Conclusie
De LogoFAIL-kwetsbaarheden onderstrepen de dringende behoefte aan robuuste beveiligingsmaatregelen bij de ontwikkeling van firmware. Omdat miljoenen apparaten van verschillende fabrikanten gevaar lopen, Er is onmiddellijke actie nodig om deze kwetsbaarheden te verhelpen en systemen te beschermen tegen mogelijke aanvallen. De beveiligingsgemeenschap wacht op de gedetailleerde onthulling van de heap-gebaseerde buffer-overflow en out-of-bounds-leesfouten later deze week op de Black Hat Europe-conferentie, in de hoop dat deze informatie zal helpen bij het versterken van systemen tegen deze opkomende dreiging.