LogoFAIL è un insieme di vulnerabilità della sicurezza che interessano i componenti di analisi delle immagini nel codice UEFI utilizzato da vari fornitori. Queste vulnerabilità possono essere sfruttate per dirottare il processo di avvio e fornire bodotkit.
Di cosa si tratta
A differenza dei metodi di attacco tradizionali che prendono di mira il bootloader o il firmware stesso, LogoFAIL consentirebbe agli attaccanti, sfruttando le librerie di analisi delle immagini utilizzate dai fornitori per visualizzare i loghi durante la routine di avvio, di iniettare payload dannosi attraverso file di immagine manipolati nella partizione di sistema EFI (ESP), consentendo di dirottare il flusso di esecuzione e aggirare le misure di sicurezza Secure Boot. Inoltre memorizzando un’immagine o un logo dannoso sull’ESP o in sezioni non firmate di un aggiornamento del firmware, un utente malintenzionato, con un metodo di attacco non rilevabile, potrebbe garantire la persistenza nel sistema senza modificare il bootloader o il firmware.
L’impatto
Un aspetto particolarmente preoccupante di LogoFAIL sarebbe il suo impatto di vasta portata. Le vulnerabilità sarebbero presenti sia nelle architetture x86 che ARM e colpiscono i prodotti dei principali produttori di dispositivi che utilizzano firmware UEFI nei loro dispositivi consumer e aziendali. La ricerca di Binarly ha già identificato potenziali vulnerabilità nei dispositivi Intel, Acer, Lenovo, nonché nel codice firmware UEFI personalizzato.
I dettagli
“I dettagli tecnici completi relativi alle vulnerabilità di LogoFAIL sono sotto embargo fino al 6 dicembre, quando verrà presentato “LogoFAIL: Security Implications of Image Parsing Durante System Boot” al Black Hat Europe.”, scrive il team di Binarly REsearch nel suo comunicato.