LogoFAIL: bug UEFI permette di installare bootkit

LogoFAIL: bug UEFI permette di installare bootkit

Due vulnerabilità presenti nel codice dei firmware UEFI potrebbero essere sfruttare per aggirare le protezioni di sicurezza e installare bootkit.
LogoFAIL: bug UEFI permette di installare bootkit
Due vulnerabilità presenti nel codice dei firmware UEFI potrebbero essere sfruttare per aggirare le protezioni di sicurezza e installare bootkit.

I ricercatori di Binarly hanno scoperto una serie di vulnerabilità nei firmware UEFI che potrebbero essere sfruttate per installare bootkit. Il problema di sicurezza è relativo ai parser delle immagini (loghi) mostrate all’avvio del computer. I dettagli tecnici di LogoFAIL verranno illustrati il 6 dicembre alla conferenza Black Hat Europe di Londra.

Modifica della sequenza di boot

Oltre 14 anni fa, due ricercatori avevano individuato un bug nel parser BMP che consentiva di infettare i BIOS. I ricercatori di Binarly hanno scoperto simili vulnerabilità nei firmware UEFI. Quest’ultimo contiene anche i parser GIF, JPEG, PCX e TGA, quindi la superficie di attacco è decisamente maggiore.

Le librerie usate per il parsing delle immagini non sono frequentemente aggiornate, quindi sarebbe possibile aggirare le funzionalità di sicurezza, tra cui Secure Boot e Intel Boot Guard. Le due vulnerabilità sono state scoperte dai ricercatori di Binarly nei firmware UEFI di Insyde, AMI e Phoenix, installati su numerosi dispositivi basati su architettura x86 e ARM.

Un malintenzionato potrebbe copiare un’immagine infetta nella EFI System Partition (ESP) o all’interno di una sezione non firmata del firmware. La sequenza di avvio viene quindi alterata dal bootkit per aggirare le funzionalità di sicurezza. Questa tecnica è più potente di quelle usate da noti bootkit (ad esempio BlackLotus), in quanto non richiede la modifica del bootloader.

Tutti i dettagli di LogFAIL verranno illustrati durante la conferenza Black Hat Europe. Ovviamente i ricercatori hanno già informato i produttori e i tre fornitori dei firmare UEFI.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 4 dic 2023
Link copiato negli appunti