Sono state denominate collettivamente LogoFAIL le vulnerabilità nel codice Unified Extensible Firmware Interface (UEFI) di vari fornitori indipendenti di firmware/BIOS che potrebbero consentire agli attori delle minacce di scaricare un payload dannoso sulle macchine esposte e aggirare Secure Boot, Intel Boot Guard e altre tecnologie di sicurezza.
In questo modo, gli attaccanti possono ottenere il pieno controllo dei sistemi interessati.
Oltre al bypass dei sistemi di sicurezza, le vulnerabilità identificate dai ricercatori di Binarly, consentono di scaricare durante la fase di avvio malware persistenti sui sistemi compromessi, direttamente nella partizione di sistema EFI, iniettando un file immagine con il logo del rispettivo produttore.
L’impatto di queste vulnerabilità riguarda sia i dispositivi basati su piattaforma x86 sia su quelli basati su ARM. “Mentre stiamo ancora cercando di capire l’entità effettiva di LogoFAIL, abbiamo già scoperto che centinaia di dispositivi consumer e enterprise potrebbero essere vulnerabili a questo nuovo attacco”, affermano i ricercatori.
Si tratta, dunque, di una minaccia molto seria anche perché difficile da rilevare in quanto si attiva durante il processo di avvio del sistema.
In maniera responsabile, i ricercatori di Binarly hanno comunicato le loro scoperte a diversi fornitori di dispositivi (Intel, Acer, Lenovo) e ai tre principali fornitori di firmware UEFI.
Ulteriori dettagli tecnici verranno divulgati ufficialmente il prossimo 6 dicembre durante la conferenza Black Hat Europe di Londra.
Indice degli argomenti
Come LogoFAIL dirotta il processo di avvio del sistema
Le vulnerabilità LogoFAIL hanno origine nelle librerie di elaborazione delle immagini del firmware durante il processo di avvio del sistema.
Come segnalato dai ricercatori di Binarly, la gravità di LogoFAIL è aggravata dalla sua ampia diffusione in quanto colpisce l’intero ecosistema UEFI e non solo i firmware di singoli fornitori. I risultati sono stati segnalati tramite il sistema CERT/CC VINCE, mentre le patch dovrebbero arrivare entro il prossimo 6 dicembre, proprio in concomitanza con la conferenza di hacking londinese.
I ricercatori di Binarly hanno scoperto che, inserendo immagini del firmware compromesse nella partizione di sistema EFI o nelle sezioni di aggiornamento del firmware non firmato, gli attori delle minacce possono eseguire codice malevolo durante l’avvio del sistema, consentendo loro di dirottare il processo di boot della macchina.
Ciò consente agli attaccanti di eludere le misure di sicurezza come Secure Boot e Intel Boot Guard, facilitando l’inserimento di un bootkit firmware persistente al di sotto del livello del sistema operativo.
“Poiché l’attaccante esegue il codice privilegiato nel firmware, sta eludendo i sistemi di security by design come un Secure Boot”, ha spiegato Alex Matrosov, CEO e fondatore di Binarly.
La scoperta delle vulnerabilità LogoFAIL è avvenuta mentre i ricercatori stavano effettuando alcuni test di laboratorio su dispositivi Lenovo, i quali “hanno improvvisamente iniziato a riavviarsi dopo aver mostrato il logo di avvio”.
Dopo alcune verifiche, i ricercatori hanno quindi concluso che la causa del problema era il cambio del logo originale: “stiamo affrontando un’exploit con un’immagine di logo di avvio modificata, che attiva la consegna del payload in fase di esecuzione, dove tutte le misurazioni di integrità e sicurezza avvengono prima del caricamento dei componenti del firmware”.
Dunque, a differenza di altri codici malevoli già analizzati in passato come quello a novembre 2022 ha interessato il firmware di cinque modelli Acer e che consentiva di bypassare il sistema Secure Boot, le nuove vulnerabilità LogoFAIL non minacciano l’integrità del sistema in fase di avvio modificando il bootloader o il componente del firmware, ma direttamente quella dei dati.
A rischio milioni di PC di vari produttori
Sempre secondo il report pubblicato dai ricercatori di Binarly, le vulnerabilità LogoFAIL impattano sui dispositivi dotati di firmware sviluppati dai tre principali fornitori di BIOS indipendenti: Insyde, AMI e Phoenix. Ciò significa che i problemi di sicurezza hanno un potenziale impatto su diversi tipi di hardware e architetture in quanto i tre produttori coprono il 95% dell’ecosistema BIOS.
LogoFAIL colpirebbe, in particolare, “la maggior parte dei dispositivi in tutto il mondo”, ha affermato Alex Matrosov di Binarly, inclusi PC consumer e aziendali di vari fornitori, tra cui Acer, Gigabyte, HP, Intel, Lenovo, MSI, Samsung, Supermicro, Fujitsu e molti altri.
È bene precisare, comunque, che l’elenco esatto dei dispositivi interessati dalle vulnerabilità LogoFAIL è ancora in fase di determinazione e dunque anche l’effettiva portata di LogoFAIL è ancora da definire.
Aggiornamenti firmware fondamentali per ridurre i rischi
In attesa che tutti i produttori di firmware UEFI rilascino le rispettive patch, è importante sottolineare che per ridurre al minimo il rischio di sfruttamento delle vulnerabilità LogoFAIL è fondamentale applicare tempestivamente gli aggiornamenti del firmware installato sul proprio parco macchine.
Inoltre, è fondamentale selezionare fornitori affidabili verificando le specifiche di sicurezza.
Infine, è altrettanto importante identificare proattivamente eventuali lacune nel proprio inventario di dispositivi adottando corrette politiche di patching.
