El código de la Interfaz Unificada y Extensible de Firmware (UEFI) de varios proveedores independientes de firmware/BIOS (IBVs) ha sido identificado como vulnerable a posibles ataques debido a defectos de alto impacto en las bibliotecas de análisis de imágenes integradas en el firmware.
Estas deficiencias han sido bautizadas por la compañía de seguridad Binarly como «LogoFAIL» y pueden ser explotadas por actores de amenazas para entregar un payload malicioso y eludir tecnologías de seguridad como Secure Boot, Intel Boot Guard, y otras diseñadas para garantizar la integridad del sistema.
Adicionalmente, estas vulnerabilidades pueden ser utilizadas para sortear soluciones de seguridad y facilitar la entrega de malware persistente a sistemas comprometidos durante la fase de arranque, al inyectar un archivo de imagen de logo malicioso en la partición del sistema EFI.
Estas vulnerabilidades afectan tanto a dispositivos basados en x86 como aquellos basados en ARM, su alcance es específico de UEFI e IBV. Entre las vulnerabilidades detectadas se encuentran un buffer overflow basado en la pila y una lectura fuera de límites, cuyos detalles se espera que sean revelados más adelante esta semana durante la conferencia Black Hat Europe.
En particular, estas vulnerabilidades se activan al analizar las imágenes inyectadas, provocando la ejecución de payloads que pueden secuestrar el flujo y evadir los mecanismos de seguridad.
«Este vector de ataque podría proporcionar a un atacante una ventaja al sortear la mayoría de las soluciones de seguridad de endpoints y desplegar un bootkit de firmware sigiloso que persistirá en una partición ESP o cápsula de firmware con una imagen de logo modificada».
Advirtió la empresa de seguridad de firmware.
Al aprovechar estas vulnerabilidades, los actores de amenazas podrían obtener un control arraigado sobre los hosts afectados, lo que resultaría en la implementación de malware persistente difícil de detectar.
A diferencia de BlackLotus o BootHole, es importante destacar que LogoFAIL no compromete la integridad en tiempo de ejecución mediante la modificación del cargador de arranque o el componente del firmware.
Estas deficiencias afectan a todos los principales IBVs, como AMI, Insyde y Phoenix, así como a cientos de dispositivos de consumo y empresariales de fabricantes como Intel, Acer y Lenovo, convirtiéndolo en un problema grave y generalizado.
Esta divulgación marca la primera demostración pública de superficies de ataque relacionadas con los analizadores de imágenes gráficas integrados en el firmware del sistema UEFI desde 2009, cuando los investigadores Rafal Wojtczuk y Alexander Tereshkin presentaron cómo se podría explotar un error en el analizador de imágenes BMP para lograr la persistencia del malware.
«La cantidad y el tipo de vulnerabilidades de seguridad descubiertas evidencian la madurez del producto en cuanto a seguridad y la calidad del código en general en el código de referencia de IBVs«.
Advierte Binarly
Más información:
- https://en.wikipedia.org/wiki/UEFI
- https://en.wikipedia.org/wiki/EFI_system_partition
- https://www.blackhat.com/eu-23/briefings/schedule/index.html#logofail-security-implications-of-image-parsing-during-system-boot-35042
- https://binarly.io/posts/The_Far_Reaching_Consequences_of_LogoFAIL/index.html
- https://www.blackhat.com/html/bh-usa-09/bh-usa-09-archives.html#:~:text=Introducing%20Ring%20%2D3%20Rootkits
Deja una respuesta