La interfaz de firmware extensible unificada (UEFI) se ha descubierto que el código de varios proveedores independientes de firmware/BIOS (IBV) es vulnerable a posibles ataques a través de fallas de alto impacto en las bibliotecas de análisis de imágenes integradas en el firmware.
Las deficiencias, denominadas colectivamente LogotipoFAIL por Binarly, «puede ser utilizado por actores de amenazas para entregar una carga útil maliciosa y evitar el arranque seguro, Intel Boot Guard y otras tecnologías de seguridad por diseño».
Además, pueden utilizarse como armas para eludir las soluciones de seguridad y enviar malware persistente a los sistemas comprometidos durante la fase de arranque, inyectando un archivo de imagen de logotipo malicioso en el sistema. partición del sistema EFI.
Aprenda a detectar amenazas internas con estrategias de respuesta de aplicaciones
Descubra cómo la detección de aplicaciones, la respuesta y el modelado de comportamiento automatizado pueden revolucionar su defensa contra amenazas internas.
Si bien los problemas no son específicos del silicio, lo que significa que afectan tanto a los dispositivos basados en x86 como en ARM, también son específicos de UEFI e IBV. Las vulnerabilidades comprenden un fallo de desbordamiento del buffer basado en el montón y una lectura fuera de límites, cuyos detalles se espera que se hagan públicos a finales de esta semana en el Conferencia Black Hat Europa.
Específicamente, estas vulnerabilidades se activan cuando se analizan las imágenes inyectadas, lo que lleva a la ejecución de cargas útiles que podrían secuestrar el flujo y eludir los mecanismos de seguridad.
«Este vector de ataque puede darle al atacante una ventaja al eludir la mayoría de las soluciones de seguridad de terminales y entregar un kit de arranque de firmware sigiloso que persistirá en una partición ESP o cápsula de firmware con una imagen de logotipo modificada», dijo la compañía de seguridad de firmware. dicho.
Al hacerlo, los actores de amenazas podrían obtener un control afianzado sobre los hosts afectados, lo que resultaría en la implementación de malware persistente que puede pasar desapercibido.
A diferencia de BlackLotus o BootHole, vale la pena señalar que LogoFAIL no rompe la integridad del tiempo de ejecución modificando el cargador de arranque o el componente de firmware.
Las fallas afectan a todos los principales IBV como AMI, Insyde y Phoenix, así como a cientos de dispositivos de nivel empresarial y de consumo de proveedores, incluidos Intel, Acer y Lenovo, lo que las hace graves y generalizadas.
La divulgación marca la primera demostración pública de superficies de ataque relacionadas con analizadores de imágenes gráficas integrados en el firmware del sistema UEFI desde 2009, cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentado cómo se podría aprovechar un error del analizador de imágenes BMP para la persistencia del malware.
«Los tipos (y el gran volumen) de vulnerabilidades de seguridad descubiertas […] muestran pura madurez de seguridad del producto y calidad del código en general en el código de referencia de IBV», señaló Binarly.