I ricercatori hanno scoperto “LogoFAIL”, una serie di vulnerabilità critiche presenti nel file Ecosistema UEFI (Unified Extensible Firmware Interface). per PC.
Lo sfruttamento delle vulnerabilità annulla le misure essenziali di sicurezza degli endpoint e fornisce agli aggressori un controllo approfondito sui sistemi interessati.
I difetti hanno origine nelle librerie di analisi delle immagini all'interno del processo di avvio, colpendo tutti i principali produttori di dispositivi sia su dispositivi x86 che basati su ARM, secondo un rapporto di Binarly Research che sarà rilasciato ufficialmente al Black Hat Europe di Londra la prossima settimana.
La gravità di LogoFAIL è aggravata dalla sua portata diffusa, avvertono i ricercatori, sottolineando che colpisce l’intero ecosistema, non solo i singoli fornitori qua e là. I risultati sono stati riportati tramite il sistema CERT/CC VINCE, con le patch anticipate del fornitore previste per il 6 dicembre, in tandem con il discorso di Black Hat, intitolato: "LogoFAIL: implicazioni sulla sicurezza dell'analisi delle immagini durante il sistema. "
Dirottamento del processo di avvio con LogoFAIL
I ricercatori di Binarly hanno scoperto che incorporando immagini compromesse nella partizione di sistema EFI (ESP) o nelle sezioni di aggiornamento del firmware non firmate, gli autori delle minacce possono eseguire codice dannoso durante l'avvio, consentendo loro di dirottare il processo di avvio.
Questo sfruttamento aggira misure di sicurezza cruciali come Secure Boot e Intel Boot Guard, facilitando l'inserimento di un bootkit firmware persistente che opera al di sotto del livello del sistema operativo.
"Poiché l'aggressore riesce a ottenere l'esecuzione del codice privilegiato nel firmware, aggira i limiti di sicurezza in base alla progettazione, come un Secure Boot", spiega Alex Matrosov, CEO e fondatore di Binarly. "Intel Boot Guard e altre tecnologie di avvio attendibili non vengono estese in fase di runtime e, dopo che il firmware è stato verificato, si avvia ulteriormente nel flusso di avvio del sistema."
Dice che originariamente il team di Binarly Research stava sperimentando la modifica del logo su uno dei dispositivi Lenovo che hanno in laboratorio.
"Un giorno, improvvisamente ha iniziato a riavviarsi dopo aver mostrato il logo di avvio", afferma. "Ci siamo resi conto che la causa principale del problema era il cambiamento del logo originale, che ha portato a un'indagine più approfondita."
Aggiunge: "In questo caso, abbiamo a che fare con uno sfruttamento continuo con un'immagine del logo di avvio modificata, attivando la consegna del payload in fase di runtime, dove tutte le misurazioni di integrità e sicurezza vengono eseguite prima che i componenti del firmware vengano caricati."
Questo non è il primo bypass di Secure Boot mai scoperto; nel novembre 2022, a è stato riscontrato un difetto nel firmware in cinque modelli di laptop Acer che potrebbe essere utilizzato per disabilitare Secure Boot e consentire ad attori malintenzionati di caricare malware; e il Loto Nero or BootHole le minacce hanno già aperto la porta al dirottamento del processo di avvio. Tuttavia, Matrosov afferma che LogoFAIL differisce dalle minacce precedenti perché non interrompe l’integrità del runtime modificando il bootloader o il componente firmware.
Infatti, afferma che LogoFAIL è un attacco di soli dati, che si verifica quando un input dannoso proviene dall'immagine del firmware o il logo viene letto dalla partizione ESP durante il processo di avvio del sistema. - e quindi è difficile da rilevare.
"Un simile approccio con il vettore di attacco ESP non lascia alcuna prova dell'attacco al firmware all'interno del firmware stesso, poiché il logo proviene da una fonte esterna", spiega.
La maggior parte dell’ecosistema PC è vulnerabile
I dispositivi dotati di firmware dei tre principali fornitori indipendenti di BIOS (IBV), Insyde, AMI e Phoenix, sono sensibili, indicando un potenziale impatto su diversi tipi di hardware e architetture. Insieme, i tre coprono il 95% dell’ecosistema BIOS, afferma Matrosov.
In effetti, Matrosov afferma che LogoFAIL colpisce "la maggior parte dei dispositivi in tutto il mondo", inclusi PC consumer e aziendali di vari fornitori: Acer, Gigabyte, HP, Intel, Lenovo, MSI, Samsung, Supermicro, Fujitsu e "molti altri".
"L'elenco esatto dei dispositivi interessati è ancora in fase di definizione, ma è fondamentale notare che tutti e tre i principali IBV - AMI, Insyde e Phoenix - sono interessati a causa di molteplici problemi di sicurezza relativi ai parser di immagini che distribuiscono come parte del loro firmware ”, avverte il rapporto Binarly. "Stimiamo che LogoFAIL abbia un impatto su quasi tutti i dispositivi forniti da questi fornitori, in un modo o nell'altro."
Da parte sua, Phoenix Technologies ha pubblicato questa settimana una notifica di sicurezza anticipata (ora rimossa ma disponibile come cache fino al 6 dicembre) specificando che il bug (CVE-2023-5058) è presente in tutte le versioni precedenti alla 1.0.5 della sua Phoenix SecureCore Technology 4, che è un firmware BIOS che fornisce funzionalità di sicurezza avanzate per vari dispositivi .
"Il difetto esiste nell'elaborazione della schermata iniziale fornita dall'utente durante l'avvio del sistema, che può essere sfruttata da un utente malintenzionato che ha accesso fisico al dispositivo", si legge nella notifica, in cui si sottolinea che è disponibile una versione aggiornata. "Fornendo una schermata iniziale dannosa, l'aggressore può causare un attacco denial-of-service o eseguire codice arbitrario nella fase UEFI DXE, aggirando il meccanismo di Secure Boot e compromettendo l'integrità del sistema."
LogoFAIL è anche tracciato da Insyde come CVE-2023-40238 e da AMI come CVE-2023-39539 e CVE-2023-39538.
Matrosov afferma che l’azienda sta collaborando attivamente con diversi fornitori di dispositivi per coordinare gli sforzi di divulgazione e mitigazione in tutto lo spettro.
Aggiornamenti firmware fondamentali per ridurre al minimo i rischi
Per ridurre al minimo il rischio del firmware in generale, gli utenti dovrebbero rimanere aggiornati con gli avvisi del produttore e applicare tempestivamente gli aggiornamenti del firmware, poiché spesso risolvono difetti di sicurezza critici.
Inoltre, controllare i fornitori è un must. "Sii esigente riguardo ai fornitori di dispositivi su cui fai affidamento quotidianamente come dispositivi personali o dispositivi nell'infrastruttura aziendale", aggiunge Matrosov. "Non fidarti ciecamente dei fornitori, ma piuttosto convalida le promesse di sicurezza del fornitore e identifica le lacune nell'inventario dei tuoi dispositivi e oltre."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/endpoint-security/critical-logofail-bugs-secure-boot-bypass-millions-pcs
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 2022
- 95%
- a
- WRI
- accesso
- Secondo
- acer
- operanti in
- attivamente
- attori
- indirizzo
- Aggiunge
- Avanzate
- influenzato
- Dopo shavasana, sedersi in silenzio; saluti;
- alex
- Tutti
- consentire
- quasi
- anche
- an
- ed
- Un altro
- Anticipato
- in qualsiasi
- APPLICA
- approccio
- SONO
- AS
- At
- attacco
- disponibile
- precedente
- BE
- perché
- prima
- essendo
- fra
- Al di là di
- Nero
- Black Hat
- Blackhat
- ciecamente
- Stivaletti
- entrambi
- confini
- Rompere
- Insetto
- bug
- ma
- by
- Materiale
- Custodie
- Causare
- ceo
- CEO e fondatore
- il cambiamento
- codice
- collaborando
- viene
- azienda
- componente
- componenti
- Compromissione
- compromettendo
- Consumer
- continua
- di controllo
- coordinare
- potuto
- coprire
- critico
- cruciale
- alle lezioni
- giorno
- trattare
- Dicembre
- deep
- più profondo
- consegna
- Design
- Detailing
- individuare
- determinato
- dispositivo
- dispositivi
- Rivelazione
- scoperto
- paesaggio differenziato
- doesn
- don
- Porta
- giù
- dovuto
- durante
- Presto
- ecosistema
- sforzi
- incorporamento
- consentendo
- endpoint
- sicurezza degli endpoint
- Impresa
- di livello enterprise
- Intero
- dal titolo
- attrezzato
- essential
- stima
- Etere (ETH)
- Europa
- EVER
- prova
- eseguire
- esecuzione
- esiste
- Spiega
- sfruttamento
- Exploited
- facilitando
- fatto
- Caratteristiche
- I risultati
- Nome
- cinque
- difetto
- difetti
- flusso
- Nel
- essere trovato
- fondatore
- da
- Fujitsu
- ulteriormente
- lacune
- Generale
- ottenere
- va
- Guardia
- accadere
- Hard
- Hardware
- ha
- Avere
- he
- qui
- dirottare
- Tuttavia
- HP
- HTTPS
- identificare
- Immagine
- immagini
- Impact
- impattato
- impatto
- impatti
- implicazioni
- in
- Compreso
- studente indipendente
- indicando
- individuale
- Infrastruttura
- ingresso
- interno
- interezza
- Intel
- Interfaccia
- ai miglioramenti
- inventario
- indagine
- problema
- sicurezza
- IT
- SUO
- stessa
- jpg
- ad appena
- Le
- laboratorio
- laptop
- Guidato
- Lenovo
- Livello
- biblioteche
- piace
- Lista
- caricare
- logo
- Londra
- inferiore
- maggiore
- il malware
- Costruttore
- Produttori
- molti
- misurazioni
- analisi
- meccanismo
- milioni
- ridurre al minimo
- minimizzando
- attenuazione
- modificato
- maggior parte
- msi
- multiplo
- devono obbligatoriamente:
- GENERAZIONE
- la prossima settimana
- Nota
- noto
- notifica
- notando
- Novembre
- adesso
- verificano
- of
- offrire
- Ufficialmente
- di frequente
- on
- ONE
- ha aperto
- operativo
- or
- i
- originariamente
- OS
- Altro
- Altri
- al di fuori
- ancora
- parte
- Patch
- PC
- PC
- cronologia
- fase
- fenice
- Fisico
- Platone
- Platone Data Intelligence
- PlatoneDati
- potenziale
- alimentato
- presenti
- Precedente
- privilegiato
- processi
- lavorazione
- promette
- fornire
- fornisce
- pubblicato
- piuttosto
- raggiungere
- Leggi
- realizzato
- relazionato
- rilasciato
- fare affidamento
- rapporto
- Segnalati
- riparazioni
- ricercatori
- Rischio
- radice
- s
- Samsung
- dice
- in programma
- allo
- sezioni
- sicuro
- problemi di
- Misure di sicurezza
- set
- gravità
- Spedizione
- dovrebbero
- mostra
- da
- Fonte
- Spettro
- iniziato
- soggiorno
- Ancora
- tale
- fornitori
- fornitura
- adatto
- sistema
- SISTEMI DI TRATTAMENTO
- T
- preso
- Parlare
- Tandem
- team
- Tecnologie
- Tecnologia
- di
- che
- Il
- loro
- Li
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- questa settimana
- minaccia
- attori della minaccia
- minacce
- tre
- così
- a
- innescando
- Affidati ad
- di fiducia
- Tipi di
- scoperto
- fino a quando
- Aggiornanento
- aggiornato
- Aggiornamenti
- utilizzato
- utenti
- CONVALIDARE
- vario
- venditore
- fornitori
- verificato
- versione
- via
- vulnerabilità
- Prima
- Modo..
- we
- settimana
- sono stati
- quando
- quale
- OMS
- molto diffuso
- volere
- con
- entro
- In tutto il mondo
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
- zero