LogoFAIL, scoperte vulnerabilità nel codice UEFI per fornire bootkit

LogoFAIL è un insieme di vulnerabilità della sicurezza che interessano i componenti di analisi delle immagini nel codice UEFI utilizzato da vari fornitori. Queste vulnerabilità possono essere sfruttate per dirottare il processo di avvio e fornire bodotkit.

Di cosa si tratta

A differenza dei metodi di attacco tradizionali che prendono di mira il bootloader o il firmware stesso, LogoFAIL consentirebbe agli attaccanti, sfruttando le librerie di analisi delle immagini utilizzate dai fornitori per visualizzare i loghi durante la routine di avvio, di iniettare payload dannosi attraverso file di immagine manipolati nella partizione di sistema EFI (ESP), consentendo di dirottare il flusso di esecuzione e aggirare le misure di sicurezza Secure Boot. Inoltre memorizzando un’immagine o un logo dannoso sull’ESP o in sezioni non firmate di un aggiornamento del firmware, un utente malintenzionato, con un metodo di attacco non rilevabile, potrebbe garantire la persistenza nel sistema senza modificare il bootloader o il firmware.

L’impatto

Un aspetto particolarmente preoccupante di LogoFAIL sarebbe il suo impatto di vasta portata. Le vulnerabilità sarebbero presenti sia nelle architetture x86 che ARM e colpiscono i prodotti dei principali produttori di dispositivi che utilizzano firmware UEFI nei loro dispositivi consumer e aziendali. La ricerca di Binarly ha già identificato potenziali vulnerabilità nei dispositivi Intel, Acer, Lenovo, nonché nel codice firmware UEFI personalizzato.

I dettagli

I dettagli tecnici completi relativi alle vulnerabilità di LogoFAIL sono sotto embargo fino al 6 dicembre, quando verrà presentato “LogoFAIL: Security Implications of Image Parsing Durante System Boot” al Black Hat Europe.”, scrive il team di Binarly REsearch nel suo comunicato.

Fonte Binarly
Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.