I ricercatori di Binarly hanno scoperto una serie di vulnerabilità nei firmware UEFI che potrebbero essere sfruttate per installare bootkit. Il problema di sicurezza è relativo ai parser delle immagini (loghi) mostrate all’avvio del computer. I dettagli tecnici di LogoFAIL verranno illustrati il 6 dicembre alla conferenza Black Hat Europe di Londra.
Modifica della sequenza di boot
Oltre 14 anni fa, due ricercatori avevano individuato un bug nel parser BMP che consentiva di infettare i BIOS. I ricercatori di Binarly hanno scoperto simili vulnerabilità nei firmware UEFI. Quest’ultimo contiene anche i parser GIF, JPEG, PCX e TGA, quindi la superficie di attacco è decisamente maggiore.
Le librerie usate per il parsing delle immagini non sono frequentemente aggiornate, quindi sarebbe possibile aggirare le funzionalità di sicurezza, tra cui Secure Boot e Intel Boot Guard. Le due vulnerabilità sono state scoperte dai ricercatori di Binarly nei firmware UEFI di Insyde, AMI e Phoenix, installati su numerosi dispositivi basati su architettura x86 e ARM.
Un malintenzionato potrebbe copiare un’immagine infetta nella EFI System Partition (ESP) o all’interno di una sezione non firmata del firmware. La sequenza di avvio viene quindi alterata dal bootkit per aggirare le funzionalità di sicurezza. Questa tecnica è più potente di quelle usate da noti bootkit (ad esempio BlackLotus), in quanto non richiede la modifica del bootloader.
Tutti i dettagli di LogFAIL verranno illustrati durante la conferenza Black Hat Europe. Ovviamente i ricercatori hanno già informato i produttori e i tre fornitori dei firmare UEFI.