11 months ago
133
I nostri computer sono di nuovo a rischio, e questa volta basterebbe una semplice immagine, come un logo, per superare i sistemi di controllo e sicurezza (leggi anche: è meglio un antivirus o un antimalware?).
La notizia peggiore? Che viene eseguita nel BIOS e per questo motivo gli antivirus o persino la reinstallazione del sistema operativo sono inutili: ecco a voi la vulnerabilità LogoFAIL. Vediamo come funziona e come difenderci.
Scoperta dai ricercatori di sicurezza informatica di Binarly, che hanno mostrato le loro ricerche alla conferenza per hacker "etici" Blackhat Europe, LogoFAIL racchiude una serie di vulnerabilità di sicurezza che interessano diverse librerie di analisi delle immagini utilizzate nel firmware di sistema da vari produttori durante il processo di avvio del dispositivo.
In pratica un attaccante può sfruttare un semplice file immagine come un logo (da qui il nome della vulnerabilità) in formato PNG o BMP per inserire del codice dannoso durante l'avvio del computer.
E assumerne il controllo a livello di sistema.
Ma come ci arrivano? Secondo i ricercatori direttamente dalla partizione di sistema EFI (ESP) o all'interno di sezioni non firmate di un aggiornamento del firmware.
Quando queste immagini vengono analizzate durante l'avvio, la vulnerabilità può essere attivata e un payload controllato dall'attaccante può essere eseguito arbitrariamente per dirottare il flusso di esecuzione. A questo punto, i ricercatori hanno dimostrato che può bypassare le funzionalità di sicurezza come Secure Boot, inclusi meccanismi di avvio verificato basati su hardware (come Intel Boot Guard, AMD Hardware-Validated Boot o Secure Boot basato su ARM TrustZone).
Queste sono le vulnerabilità scoperte:
- CVE-2023-40238: colpisce BmpDecoderDxe in Insyde InsydeH2O per alcuni dispositivi Lenovo. Causato a causa di un errore di firma intera relativo a PixelHeight e PixelWidth nella compressione RLE4/RLE8.
- CVE-2023-39539: colpisce AMI AptioV e comporta una vulnerabilità nel BIOS, in cui un utente può causare un caricamento illimitato di un file logo PNG con un tipo pericoloso attraverso l'accesso locale.
- CVE-2023-39538: simile a CVE-2023-39539, questa vulnerabilità si trova anche nel BIOS di AMI AptioV. Consente a un utente di causare un caricamento illimitato di un file BMP Logo con un tipo pericoloso dall'accesso locale.
Qui sotto potete vedere il meccanismo di azione di LogoFAIL, che può essere semplificato in tre passaggi: introduzione del logo nel sistema, avvio del computer, esecuzione del codice.
LogoFAIL è particolarmente pericoloso perché vive nel BIOS, quindi sopravvive a una reinstallazione del sistema operativo e bypassa la maggior parte delle difese poiché queste tendono a eseguire e monitorare le funzionalità del sistema operativo e non il codice BIOS e UEFI.
Una delle scoperte più importanti è che LogoFAIL non è specifico per il tipo di processore e può avere un impatto su dispositivi basati su x86 e ARM. Invece, LogoFAIL è UEFI e IBV (Independent BIOS vendor) specifico a causa delle specifiche dei parser di immagini vulnerabili che sono stati utilizzati.
Questo significa che ha un impatto non su un singolo fornitore ma sull'intero ecosistema, e tutti e tre i principali IBV sono influenzati: AMI, Insyde e Phoenix.
I ricercatori di Binarly hanno dichiarato di essere rimasti scioccati dalle loro scoperte e dalla semplicità con cui si possono bypassare le tecnologie di sicurezza durante l'avvio, e come queste vulnerabilità possano aprire le porte a potenziali aggressori.
Nel complesso, LogoFAIL dovrebbe essere considerato molto più pericoloso del recente bootkit BlackLotus, da cui differisce perché non modifica il bootlooder, e interviene dopo che tutti i controlli di integrità sono avvenuti.
Ma quali computer sono affetti? Al momento non c'è una lista completa, ma sicuramente sono centinaia di modelli, tra cui Lenovo, Acer e Intel.
Cosa fare? Non essendoci ancora una lista dei computer affetti, bisogna controllare sul sito del proprio produttore se sono stati rilasciati aggiornamenti o informazioni in merito. Diversi produttori hanno emesso avvisi, come AMI, Insyde e Lenovo, e in caso sia stato rilasciato un aggiornamento bisogna aggiornare il BIOS, cosa che purtroppo non tutti fanno o sanno fare.
Binarly non ha definito esempi precisi di come questa vulnerabilità possa essere sfruttata (e se sia stata già attivamente sfruttata), ma le regole generali per la protezione del proprio computer dovrebbero minimizzare i rischi di infezione.
In ogni caso, tenete presente che se il vostro computer si comporta in modo strano e pensate che sia stato infetto da un malware ma la reinstallazione del sistema non risolve il problema, potrebbe essere vittima di questo exploit.
English (US)