Nuove e mirabolanti superfici d’attacco senza barriere di sistema operativo o architettura… Se ne sentiva la mancanza vero? Ecco a voi LogoFAIL, un attacco che sfrutta l’immagine che appare solitamente in fase di boot dei dispositivi (laptop o desktop non fa differenza) per eseguire codice nel momento peggiore: ossia quando non c’è alcuna protezione poiché di fatto ancora nulla è stato caricato a livello di sistema operativo.
La modalità in cui la vulnerabilità viene sfruttata è mediante UEFI e, cosa ancora più “interessante” per così dire, probabilmente è in giro proprio da quando esiste UEFI, ecco perché nel tweet che segue, il ricercatore di BINARLY (l’azienda che ha scoperto il problema) ne parla in maniera piuttosto allarmante:
Some additional thoughts on #LogoFAIL pic.twitter.com/w41P1KY3UI
— BINARLY (@binarly_io) December 8, 2023Non a caso BINARLY produce una piattaforma per la gestione della produzione dei firmware, ed è proprio a quel livello che bisogna agire per sistemare le cose.
Come racconta ZDNet l’attacco sfrutta i parser di immagini UEFI (quindi appunto i loghi che vengono visualizzati al boot) e fa riferimento a questi programmi che eseguono il rendering dei loghi dell’immagine di avvio, essendo incorporati in UEFI dai principali fornitori di BIOS indipendenti (IBV), come AMI, Insyde e Phoenix.
Il team di Binarly ha individuato 29 problemi di sicurezza, 15 dei quali sfruttabili per l’esecuzione di codice arbitrario. Quindi chi attacca rimpiazza le immagini con delle altre identiche che però portano con sé anche il codice che sfrutta le vulnerabilità rilevate nei parser e da lì in poi l’attacco si evolve, muovendosi in quello che è lo spazio prima dell’avvio del sistema operativo, che si chiama Driver Execution Environment (DXE).
Perché è così pericoloso? Lo spiegano direttamente i ricercatori: una volta che c’è il controllo totale della memoria e del disco del device infetto (e questo avviene a prescindere dal sistema operativo) tutta la piattaforma diventa insicura. Pensate solo se venisse sostituito un eseguibile nel disco prima che il sistema operativo venga avviato… Praticamente il paradiso dei rootkit.
Se qualcuno se lo sta chiedendo, chiaramente per tutelarsi le vie sono sempre le solite: evitare di installare programmi da fonti insicure ed aggiornare quanto prima il proprio firmware, a cui tutti i maggiori produttori stanno già lavorando o hanno già reso disponibile, vedi AMI, Intel, Insyde, Phoenix e Lenovo.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Tags: Linux, LogoFAIL, Malware, UEFI, Vulnerabilità, Windows