Várias vulnerabilidades de segurança coletivamente denominadas LogoFAIL afetam os componentes de análise de imagem no código UEFI de vários fornecedores.
Pesquisadores alertam que eles poderiam ser explorados para sequestrar o fluxo de execução do processo de inicialização e fornecer bootkits.
Porque as questões estão nas bibliotecas de análise de imagem, que fornecedores usam para mostrar logotipos durante a rotina de inicialização, elas têm um impacto amplo e se estendem às arquiteturas x86 e ARM.
De acordo com pesquisadores da plataforma de segurança da cadeia de suprimentos de firmware Binarly, a marca introduziu riscos de segurança desnecessários, tornando possível executar payloads maliciosos injetando arquivos de imagem na Partição do Sistema EFI (ESP).
Abusar dos analisadores de imagem para ataques na Interface de Firmware Extensível Unificada (UEFI) foi demonstrado em 2009 quando os pesquisadores Rafal Wojtczuk e Alexander Tereshkin mostraram como um bug do analisador de imagem BMP poderia ser explorado para infectar o BIOS para persistência de malware.
A descoberta das vulnerabilidades LogoFAIL começou como um pequeno projeto de pesquisa em superfícies de ataque de componentes de análise de imagem no contexto de código de análise personalizado ou desatualizado no firmware UEFI.
Os pesquisadores descobriram que um invasor poderia armazenar uma imagem maliciosa ou logotipo na Partição do Sistema EFI (ESP) ou em seções não assinadas de uma atualização de firmware.
Plantar malware dessa forma garante persistência no sistema que é praticamente indetectável, como ilustrado em ataques passados que exploraram componentes UEFI infectados [1, 2].
LogoFAIL não afeta a integridade de tempo de execução porque não há necessidade de modificar o bootloader ou o firmware, um método visto com a vulnerabilidade BootHole ou o bootkit BlackLotus.
Em um vídeo que Binarly compartilhou privadamente com BleepingComputer, a execução do script de prova de conceito (PoC) e a reinicialização do dispositivo resultaram na criação de um arquivo arbitrário no sistema.
Os pesquisadores destacam que, como não é específico do silício, as vulnerabilidades do LogoFAIL afetam fornecedores e chips de vários fabricantes.
Os problemas estão presentes em produtos de muitos dos principais fabricantes de dispositivos que usam firmware UEFI em dispositivos de consumo e corporativos.
A Binarly já determinou que centenas de dispositivos da Intel, Acer, Lenovo e outros fornecedores são potencialmente vulneráveis, assim como os três principais provedores independentes de código de firmware UEFI personalizado: AMI, Insyde e Phoenix.
No entanto, também vale a pena notar que o âmbito exato do impacto do LogoFAIL ainda está sendo determinado.
"Embora ainda estejamos no processo de entender a real extensão do LogoFAIL, já descobrimos que centenas de dispositivos de consumo e corporativos possivelmente são vulneráveis a este novo ataque", dizem os pesquisadores.
Os detalhes técnicos completos para o LogoFAIL serão apresentados no dia 6 de dezembro na conferência de segurança Black Hat Europe em Londres.
De acordo com o resumo da apresentação do LogoFAIL, os pesquisadores divulgaram suas descobertas para vários fornecedores de dispositivos (Intel, Acer, Lenovo) e para os três principais fornecedores de UEFI.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...