Il codice dell’Unified Extensible Firmware Interface (UEFI) proveniente da vari fornitori indipendenti di firmware/BIOS (IBV) è stato individuato come vulnerabile a potenziali attacchi attraverso gravi difetti nell’analisi delle immagini incorporate nel firmware.
I problemi che causa LogoFAIL
Le vulnerabilità, collettivamente etichettate come LogoFAIL da Binarly, “possono essere sfruttate da malintenzionati per consegnare un carico dannoso e eludere Secure Boot, Intel Boot Guard e altre tecnologie di sicurezza per progetto“.
Inoltre, possono essere strumentalizzate per eludere le soluzioni di sicurezza e consegnare malware persistente ai sistemi compromessi durante la fase di avvio inserendo un file immagine logo dannoso nella partizione di sistema EFI.
Sebbene i problemi non siano specifici delle schede madri, il che significa che influenzano sia i dispositivi basati su x86 che quelli basati su ARM, sono anche specifici per UEFI e IBV; le vulnerabilità comprendono un difetto di overflow del buffer basato su heap e una lettura fuori limite, i dettagli dei quali si prevede che saranno resi pubblici più avanti questa settimana alla conferenza Black Hat Europe.
In particolare, queste vulnerabilità vengono attivate quando le immagini inserite vengono analizzate, portando all’esecuzione di carichi che potrebbero dirottare il flusso e eludere i meccanismi di sicurezza.
“Questo vettore di attacco può dare a un aggressore un vantaggio nell’eludere la maggior parte delle soluzioni di sicurezza endpoint e consegnare un bootkit firmware stealth persistente che rimarrà in una partizione ESP o capsula firmware con un’immagine logo modificata“, ha dichiarato l’azienda di sicurezza del firmware.
In tal modo, gli hacker potrebbero ottenere un controllo radicato sugli host interessati, con conseguente distribuzione di malware persistente che può sfuggire alla rilevazione.
A differenza di BlackLotus o BootHole, vale la pena notare che LogoFAIL non compromette l’integrità in tempo reale modificando il bootloader o il componente firmware.
Le falle colpiscono tutti i principali IBV come AMI, Insyde e Phoenix, nonché centinaia di dispositivi consumer e aziendali di fornitori, tra cui Intel, Acer e Lenovo, rendendolo sia grave che diffuso.
La divulgazione segna la prima dimostrazione pubblica di superfici di attacco legate ai parser di immagini grafiche incorporate nel firmware di sistema UEFI dal 2009, quando i ricercatori Rafal Wojtczuk e Alexander Tereshkin presentarono come un difetto nel parser di immagini BMP potesse essere sfruttato per la persistenza del malware.
“I tipi – e la pura quantità – di vulnerabilità di sicurezza scoperte […] mostrano la maturità della sicurezza del prodotto e la qualità del codice in generale nel codice di riferimento IBV“, ha detto infine Binarly.
C’è da preoccuparsi?
In generale non c’è da preoccuparsi, perlomeno per l’utente comune, diverso il discorso per le aziende che sono solitamente più sotto tiro e più ricercate dai criminali informatici.
In entrambi i casi un aggiornamento al BIOS dovrebbe risolvere tutto, attenzione però, che se dovesse capitare malauguratamente la falla nota come LogoFAIL, va da sé che l’aggiornamento al BIOS va fatto fare a persone competenti, poiché è un procedimento delicatissimo.
Questo potrebbe essere un problema, tuttavia, per i dispositivi con BIOS UEFI un po’ più datati e non supportati, tuttavia non è nemmeno detto che i dispositivi vecchi con vecchi BIOS abbiano per forza la falla LogoFAIL; fortunatamente le protezioni a livello software sono sempre più avanzate e riescono a “sorpassare” anche le falle del BIOS in alcuni casi.