L’interface de micrologiciel extensible unifiée (UEFI) le code de divers fournisseurs indépendants de micrologiciels/BIOS (IBV) s’est révélé vulnérable aux attaques potentielles du fait de failles à fort impact dans les bibliothèques d’analyse d’images intégrées au micrologiciel.
Les lacunes, collectivement étiquetées LogoFAIL par Binarly, “peut être utilisé par les acteurs malveillants pour fournir une charge utile malveillante et contourner Secure Boot, Intel Boot Guard et d’autres technologies de sécurité dès leur conception”.
En outre, ils peuvent être utilisés pour contourner les solutions de sécurité et diffuser des logiciels malveillants persistants sur les systèmes compromis pendant la phase de démarrage en injectant un fichier image de logo malveillant dans le système. Partition système EFI.
Apprenez à détecter les menaces internes avec les stratégies de réponse des applications
Découvrez comment la détection des applications, la réponse et la modélisation automatisée du comportement peuvent révolutionner votre défense contre les menaces internes.
Bien que les problèmes ne soient pas spécifiques au silicium, ce qui signifie qu’ils affectent à la fois les appareils x86 et ARM, ils sont également spécifiques à l’UEFI et à l’IBV. Les vulnérabilités comprennent une faille de dépassement de tampon basée sur le tas et une lecture hors limites, dont les détails devraient être rendus publics plus tard cette semaine à l’occasion de l’événement. Conférence Black Hat Europe.
Plus précisément, ces vulnérabilités sont déclenchées lors de l’analyse des images injectées, conduisant à l’exécution de charges utiles susceptibles de détourner le flux et de contourner les mécanismes de sécurité.
“Ce vecteur d’attaque peut donner à un attaquant un avantage en contournant la plupart des solutions de sécurité des points finaux et en fournissant un kit de démarrage de micrologiciel furtif qui persistera dans une partition ESP ou une capsule de micrologiciel avec une image de logo modifiée”, a déclaré la société de sécurité du micrologiciel. dit.
Ce faisant, les acteurs malveillants pourraient acquérir un contrôle renforcé sur les hôtes concernés, ce qui entraînerait le déploiement de logiciels malveillants persistants pouvant passer inaperçus.
Contrairement à BlackLotus ou BootHole, il convient de noter que LogoFAIL ne rompt pas l’intégrité d’exécution en modifiant le chargeur de démarrage ou le composant du micrologiciel.
Les failles affectent tous les principaux IBV comme AMI, Insyde et Phoenix, ainsi que des centaines d’appareils grand public et d’entreprise de fournisseurs, notamment Intel, Acer et Lenovo, ce qui les rend à la fois graves et répandues.
Cette divulgation marque la première démonstration publique de surfaces d’attaque liées aux analyseurs d’images graphiques intégrés au micrologiciel du système UEFI depuis 2009, lorsque les chercheurs Rafal Wojtczuk et Alexander Tereshkin présenté comment un bug de l’analyseur d’images BMP pourrait être exploité pour la persistance des logiciels malveillants.
“Les types – et le volume – des failles de sécurité découvertes […] montrer la maturité pure en matière de sécurité des produits et la qualité du code en général sur le code de référence d’IBV”, a noté Binarly.