.
Centenas de dispositivos de consumo e corporativos são potencialmente vulneráveis a explorações de bootkit por meio de analisadores de imagens de BIOS inseguros.
Pesquisadores de segurança identificaram vulnerabilidades no firmware do sistema UEFI de grandes fornecedores que, segundo eles, poderiam permitir que invasores sequestrassem bibliotecas de imagens mal mantidas para entregar silenciosamente cargas maliciosas que ignoram inicialização segura, Intel Boot Guard, inicialização validada por hardware AMD e outros.
Apelidado de “LogoFail”, fomos informados de que o conjunto de vulnerabilidades permite que invasores usem arquivos de imagem maliciosos que são carregados pelo firmware durante a fase de inicialização como um meio de entregar silenciosamente cargas úteis, como bootkits.
As vulnerabilidades afetam as bibliotecas de análise de imagens usadas por vários fornecedores de firmware, muitos dos quais estão expostos às falhas, segundo os pesquisadores da Binarly.
Os analisadores de imagens são componentes de firmware responsáveis por carregar logotipos de fornecedores ou locais de trabalho nos casos em que máquinas emitidas para trabalho estão configuradas para fazer isso, exibindo-os no display enquanto a máquina é inicializada.
Os invasores poderiam injetar seu próprio arquivo de imagem na partição do sistema EFI, que é então analisado durante a inicialização e é capaz de instalar silenciosamente uma carga maliciosa, como um bootkit, com persistência.
Binarly disse que a descoberta, que começou como um pequeno projeto paralelo, mas se transformou em uma divulgação muito maior para todo o setor, deveria ser considerada mais perigosa do que o bootkit BlackLotus do início deste ano.
“O LogoFAIL difere das ameaças BlackLotus ou BootHole porque não quebra a integridade do tempo de execução ao modificar o bootloader ou o componente de firmware”, disseram os pesquisadores em um post no blog.
“Neste caso, estamos lidando com uma exploração contínua com uma imagem de logotipo de inicialização modificada, acionando a entrega do payload em tempo de execução, onde todas as medidas de integridade e segurança acontecem antes dos componentes do firmware serem carregados.”
Todos os três principais fornecedores independentes de BIOS – AMI, Insyde e Phoenix – são afetados pelos problemas, bem como dispositivos da Intel, Acer e Lenovo.
“Centenas de dispositivos de consumo e de nível empresarial de vários fornecedores, incluindo Intel, Acer e Lenovo, são potencialmente vulneráveis”, acrescentaram os pesquisadores.
“A lista exata de dispositivos afetados ainda está sendo determinada, mas é crucial observar que todos os três principais IBVs foram afetados – AMI, Insyde e Phoenix devido a vários problemas de segurança relacionados aos analisadores de imagem que eles enviam como parte de seu firmware.”
Acredita-se que quase todos os dispositivos desenvolvidos pelos fornecedores mencionados sejam afetados “de uma forma ou de outra”, e a vulnerabilidade abrange as arquiteturas x86 e ARM.
Os investigadores irão revelar as questões com mais detalhes na próxima semana, estreando a investigação completa no palco do Black Hat Europe, em Londres, no dia 6 de dezembro.
A palestra incluirá detalhes completos de como as vulnerabilidades podem ser exploradas, o que, segundo eles, pode ser simplificado em um processo de três etapas.
Binarly afirmou que a indústria não viu nenhuma documentação pública de ataques relacionados a analisadores de imagens desde uma apresentação de 2009 [PDF] na Black Hat USA, trabalho que viu Rafal Wojtczuk e Alexander Tereshkin explorando um bug do analisador BMP.
Desde então, o número de analisadores de imagens aumentou, aqueles que cobrem mais tipos de arquivos e, subsequentemente, aumentam a superfície potencial de ataque, disseram eles. ®
.
