Atualização adicionada abaixo sobre este bootkit ter sido criado por estudantes no programa de treinamento em cibersegurança Best of the Best (BoB) da Coreia.
O recém-descoberto 'Bootkitty', um bootkit de UEFI para Linux, explora a falha LogoFAIL, registrada como CVE-2023-40238, para atacar computadores que executam firmware vulnerável.
Isso foi confirmado pela empresa de segurança de firmware Binarly, que descobriu o LogoFAIL em novembro de 2023 e alertou sobre seu potencial de ser utilizado em ataques reais.
O Bootkitty foi descoberto pela ESET, que publicou um relatório na semana passada, observando que é o primeiro bootkit de UEFI especificamente direcionado para Linux.
No entanto, no momento, ele é mais um malware de UEFI em desenvolvimento que funciona apenas em versões específicas do Ubuntu, em vez de uma ameaça generalizada.
LogoFAIL é um conjunto de falhas no código de análise de imagens das imagens de firmware da UEFI usadas por vários fornecedores de hardware, exploráveis por imagens ou logos maliciosos colocados na Partição do Sistema EFI (ESP).
"Quando essas imagens são analisadas durante a inicialização, a vulnerabilidade pode ser acionada e um payload controlado pelo atacante pode ser executado arbitrariamente para sequestrar o fluxo de execução e burlar recursos de segurança como o Secure Boot, incluindo mecanismos de Verified Boot baseados em hardware," explicou anteriormente a Binarly.
Segundo o último relatório da Binarly, o Bootkitty incorpora shellcode dentro dos arquivos BMP ('logofail.bmp' e 'logofail_fake.bmp') para burlar as proteções do Secure Boot, injetando certificações fraudulentas na variante MokList.
O arquivo 'logofail.bmp' incorpora shellcode em seu final, e um valor negativo de altura (0xfffffd00) aciona a vulnerabilidade de escrita fora dos limites durante a análise.
O MokList legítimo é substituído por um certificado fraudulento, autorizando efetivamente um bootloader malicioso ('bootkit.efi').
Após desviar a execução para o shellcode, o Bootkitty restaura locais de memória sobrescritos na função vulnerável (RLE8ToBlt) com instruções originais, apagando assim qualquer sinal de adulteração óbvia.
A Binarly diz que o Bootkitty poderia impactar qualquer dispositivo que não tenha sido corrigido contra o LogoFAIL, mas seu shellcode atual espera por código específico usado em módulos de firmware encontrados em computadores da Acer, HP, Fujitsu e Lenovo.
A análise do pesquisador sobre o arquivo bootkit.efi determinou que os dispositivos da Lenovo baseados na Insyde são os mais suscetíveis, já que o Bootkitty referencia nomes de variáveis e caminhos específicos usados por esta marca.
No entanto, isso pode indicar que o desenvolvedor está apenas testando o bootkit em seu próprio laptop e adicionará suporte para uma gama mais ampla de dispositivos mais tarde.
Alguns dispositivos amplamente utilizados cujo firmware mais recente ainda é vulnerável a explorações do LogoFAIL incluem IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 e Lenovo Yoga 9-14IRP8.
"Já faz mais de um ano desde que soamos o alarme sobre o LogoFAIL e ainda assim, muitas partes afetadas permanecem vulneráveis a uma ou mais variantes das vulnerabilidades do LogoFAIL," adverte a Binarly.
O Bootkitty serve como um lembrete contundente das consequências quando essas vulnerabilidades não são adequadamente abordadas ou quando as correções não são devidamente implantadas nos dispositivos em campo.
Se você estiver usando um dispositivo sem atualizações de segurança disponíveis para mitigar o risco do LogoFAIL, limite o acesso físico, habilite o Secure Boot, proteja com senha as configurações da UEFI/BIOS, desabilite a inicialização a partir de mídias externas e baixe apenas atualizações de firmware do site oficial do OEM.
"O objetivo principal deste projeto é aumentar a conscientização dentro da comunidade de segurança sobre riscos potenciais e incentivar medidas proativas para prevenir ameaças semelhantes," disse o programa à ESET.
Infelizmente, poucas amostras de bootkit foram divulgadas antes da apresentação planejada na conferência.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...