da Hardware Upgrade :
LogoFAIL il nome dato ad un insieme di
vulnerabilit di sicurezza che possono consentire ad un aggressore di compromettere
le immagini presenti nel codice UEFI di vari vendor, cos da
sfruttarle per dirottare la catena di esecuzione del processo di avvio e distribuire
bootkit. Si tratta di un problema a carico delle librerie di parsing
delle immagini, usate dai produttori di sistemi e hardware per mostrare il
logo durante la fase di avvio e interessa le architetture x86 e ARM.
Non si tratta di un concetto nuovo in quanto l’abuso di parser di
immagini per compromettere l’UEFI di un sistema una tecnica gi
dimostrata nel 2009 quando due ricercatori, Rafal Wojtczuk e Alexander
Tereshkin, hanno sfruttato un bug di un parser BMP per compromettere il
BIOS con un malware capace di mantenere persistenza.
Le vulnerabilit LogoFAIL sono state scoperte
dai ricercatori di Binarly nel corso di un progetto di ricerca per
verificare quali fossero le superfici di attacco nei componenti di parsing
delle immagini in relazione a un firmware UEFI obsoleto o
personalizzato. Durante il progetto stato scoperto che un
aggressore potrebbe memorizzare un’immagine o un logo dannoso nella
partizione EFI System o in sezioni non firmate di un aggiornamento
del firmware.
Nel momento in cui le immagini vengono elaborate durante le fasi di
avvio, possibile che la vulnerabilit venga attivata assieme
all’esecuzione di un payload controllato dall’aggressore per dirottare il
flusso di esecuzione e scavalcare cos quelle funzionalit di sicurezza
come ad esempio Boot Guard di Intel, Hardware-Validated Boot di AMD o
TrustZone-based Secure Boot di ARM.
Riuscire ad installare un malware in questo modo significa garantirsi la
persistenza sul sistema in aggiunta alla possibilit di passare pressoch
completamente inosservati. Il problema di LogoFAIL che consente di non
compromettere l’integrit in fase di esecuzione, dato che non necessario
modificare il bootloader o il firmware, metodi gi utilizzati con altre
tecniche di attacco (come ad esempio il famigerato BlackLotus).
LogoFAIL, inoltre, pu interessare pi produttori diversi dal momento che
non dipende da un elemento hardware specifico. I ricercatori hanno gi
avuto modo di verificare che centinaia di dispositivi Intel, Acer, Lenovo
e molti altri produttori sono potenzialmente vulnerabili, assieme ai
firmware UEFI di AMI, Insyde e Phoenix.
Quello che bene tenere a mente, per, che la portata esatta di
LogoFAIL deve essere ancora determinata, e le
informazioni complete di dettagli tecnici sulle vulnerabilit LogoFAIL
saranno mostrate in occasione della Black Hat Europe di Londra il
prossimo 6 dicembre. I ricercatori hanno comunque gi informato i
principali produttori di sistemi e le tre societ produttrici di firmware
UEFI.