Onderzoekers hebben ‘LogoFAIL’ ontdekt, een reeks kritieke kwetsbaarheden die aanwezig zijn in de Unified Extensible Firmware Interface (UEFI)-ecosysteem voor pc's.
Exploitatie van de kwetsbaarheden maakt essentiële eindpuntbeveiligingsmaatregelen teniet en geeft aanvallers diepgaande controle over getroffen systemen.
De fouten vinden hun oorsprong in het parseren van afbeeldingen tijdens het opstartproces en hebben gevolgen voor alle grote apparaatfabrikanten op zowel x86- als ARM-gebaseerde apparaten, volgens een rapport van Binarly Research dat volgende week officieel zal worden vrijgegeven bij Black Hat Europe in Londen.
De ernst van LogoFAIL wordt nog verergerd door het wijdverspreide bereik ervan, waarschuwen onderzoekers, waarbij ze opmerken dat het het hele ecosysteem beïnvloedt, en niet alleen hier en daar individuele leveranciers. De bevindingen werden gerapporteerd via het CERT/CC VINCE-systeem, met verwachte leverancierspatches gepland voor 6 december, samen met de Black Hat-toespraak, getiteld: “LogoFAIL: Beveiligingsimplicaties van het parseren van afbeeldingen tijdens het systeem.”
Het opstartproces kapen met LogoFAIL
Binaire onderzoekers ontdekten dat door het insluiten van gecompromitteerde afbeeldingen in de EFI System Partition (ESP) of niet-ondertekende firmware-updatesecties, bedreigingsactoren tijdens het opstarten kwaadaardige code kunnen uitvoeren, waardoor ze het opstartproces kunnen kapen.
Deze uitbuiting omzeilt cruciale beveiligingsmaatregelen zoals Secure Boot en Intel Boot Guard, waardoor het inbrengen van een persistente firmware-bootkit die onder het OS-niveau werkt, wordt vergemakkelijkt.
“Omdat de aanvaller de geprivilegieerde code-uitvoering in de firmware krijgt, omzeilt hij de beveiligingsgrenzen door het ontwerp, zoals bij Secure Boot”, legt Alex Matrosov, CEO en oprichter van Binarly, uit. “De Intel Boot Guard en andere vertrouwde opstarttechnologieën worden tijdens runtime niet uitgebreid, en nadat de firmware is geverifieerd, wordt deze gewoon verder opgestart in de opstartstroom van het systeem.”
Hij zegt dat het Binarly Research-team oorspronkelijk experimenteerde met het aanpassen van het logo op een van de Lenovo-apparaten die ze in het laboratorium hebben.
"Op een dag begon het plotseling opnieuw op te starten nadat het opstartlogo werd weergegeven", zegt hij. “We realiseerden ons dat de oorzaak van het probleem de verandering van het oorspronkelijke logo was, wat leidde tot een diepgaander onderzoek.”
Hij voegt eraan toe: “In dit geval hebben we te maken met voortdurende exploitatie met een gewijzigde opstartlogo-afbeelding, waardoor de payload-levering in runtime wordt geactiveerd, waarbij alle integriteits- en beveiligingsmetingen plaatsvinden voordat de firmwarecomponenten worden geladen.”
Dit is niet de eerste Secure Boot-bypass die ooit is ontdekt; in november 2022, een Er is een firmwarefout gevonden in vijf Acer-laptopmodellen dat kan worden gebruikt om Secure Boot uit te schakelen en kwaadwillende actoren in staat te stellen malware te laden; en de Zwarte Lotus or Bootgat Bedreigingen hebben eerder de deur geopend voor het kapen van processen. Matrosov zegt echter dat LogoFAIL verschilt van eerdere bedreigingen omdat het de runtime-integriteit niet verbreekt door de bootloader of de firmwarecomponent te wijzigen.
Hij zegt zelfs dat LogoFAIL een aanval is die uitsluitend op gegevens gericht is en die plaatsvindt wanneer kwaadaardige invoer afkomstig is van het firmware-image of het logo wordt gelezen van de ESP-partitie tijdens het opstartproces van het systeem. - en daarom is het moeilijk te detecteren.
“Een dergelijke aanpak met de ESP-aanvalsvector laat geen enkel bewijs achter van de firmware-aanval binnen de firmware zelf, omdat het logo van een externe bron komt”, legt hij uit.
De meerderheid van het pc-ecosysteem is kwetsbaar
Apparaten die zijn uitgerust met firmware van de drie grote onafhankelijke BIOS-leveranciers (IBV's), Insyde, AMI en Phoenix, zijn gevoelig, wat wijst op een potentiële impact op verschillende hardwaretypen en architecturen. Samen bestrijken de drie 95% van het BIOS-ecosysteem, zegt Matrosov.
Matrosov zegt dat LogoFAIL ‘de meeste apparaten wereldwijd’ treft, inclusief consumenten- en bedrijfs-pc’s van verschillende leveranciers – Acer, Gigabyte, HP, Intel, Lenovo, MSI, Samsung, Supermicro, Fujitsu en ‘vele anderen’.
“De exacte lijst met getroffen apparaten wordt nog bepaald, maar het is van cruciaal belang op te merken dat alle drie de grote IBV’s – AMI, Insyde en Phoenix – getroffen zijn vanwege meerdere beveiligingsproblemen met betrekking tot beeldparsers die ze leveren als onderdeel van hun firmware ”, waarschuwde het Binarly-rapport. “We schatten dat LogoFAIL op de een of andere manier invloed heeft op vrijwel elk apparaat dat door deze leveranciers wordt ondersteund.”
Op zijn beurt publiceerde Phoenix Technologies deze week een vroege beveiligingsmelding (nu verwijderd, maar beschikbaar als cache totdat het teruggaat op 6 december) waarin wordt aangegeven dat de bug (CVE-2023-5058) aanwezig is in alle versies lager dan 1.0.5 van de Phoenix SecureCore Technology 4, een BIOS-firmware die geavanceerde beveiligingsfuncties biedt voor verschillende apparaten .
“De fout bestaat in de verwerking van het door de gebruiker aangeleverde splash-scherm tijdens het opstarten van het systeem, dat kan worden uitgebuit door een aanvaller die fysieke toegang tot het apparaat heeft”, aldus de melding, waarin werd opgemerkt dat er een bijgewerkte versie beschikbaar is. “Door een kwaadaardig splash-scherm aan te bieden, kan de aanvaller een denial-of-service-aanval veroorzaken of willekeurige code uitvoeren in de UEFI DXE-fase, waarbij hij het Secure Boot-mechanisme omzeilt en de systeemintegriteit in gevaar brengt.”
LogoFAIL wordt ook gevolgd door Insyde als CVE-2023-40238, en door AMI als CVE-2023-39539 en CVE-2023-39538.
Matrosov zegt dat het bedrijf actief samenwerkt met meerdere leveranciers van apparaten om de openbaarmakings- en mitigatie-inspanningen over het hele spectrum te coördineren.
Firmware-updates zijn de sleutel tot het minimaliseren van risico's
Om het firmwarerisico in het algemeen te minimaliseren, moeten gebruikers op de hoogte blijven van de adviezen van de fabrikant en onmiddellijk firmware-updates toepassen, aangezien deze vaak kritieke beveiligingsfouten verhelpen.
Ook het doorlichten van leveranciers is een must. “Wees kieskeurig met betrekking tot de leveranciers van apparaten waar u dagelijks op vertrouwt als persoonlijk apparaat of apparaten binnen uw bedrijfsinfrastructuur”, voegt Matrosov toe. “Vertrouw de leveranciers niet blindelings, maar valideer liever de beveiligingsbeloften van de leverancier en identificeer de hiaten in uw apparaatinventaris en daarbuiten.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/endpoint-security/critical-logofail-bugs-secure-boot-bypass-millions-pcs
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 2022
- 95%
- a
- Over
- toegang
- Volgens
- acer
- over
- actief
- actoren
- adres
- Voegt
- vergevorderd
- beïnvloed
- Na
- alex
- Alles
- toelaten
- bijna
- ook
- an
- en
- Nog een
- verwachte
- elke
- Solliciteer
- nadering
- ZIJN
- AS
- At
- aanvallen
- Beschikbaar
- terug
- BE
- omdat
- vaardigheden
- wezen
- tussen
- Verder
- Zwart
- Black Hat
- Blackhat
- blindelings
- Laarzen
- zowel
- grenzen
- Breken
- Bug
- bugs
- maar
- by
- CAN
- geval
- Veroorzaken
- ceo
- CEO en oprichter
- verandering
- code
- samenwerken
- komt
- afstand
- bestanddeel
- componenten
- Aangetast
- afbreuk te doen aan
- consument
- voortgezet
- onder controle te houden
- coördineren
- kon
- deksel
- kritisch
- cruciaal
- dagelijks
- dag
- omgang
- December
- deep
- diepere
- levering
- Design
- detaillering
- opsporen
- vastbesloten
- apparaat
- systemen
- onthulling
- ontdekt
- diversen
- doesn
- don
- Deur
- beneden
- twee
- gedurende
- Vroeg
- ecosysteem
- inspanningen
- inbedding
- waardoor
- Endpoint
- Endpoint security
- Enterprise
- enterprise-kwaliteit
- Geheel
- gerechtigd
- uitgerust
- essentieel
- schatting
- Ether (ETH)
- Europa
- OOIT
- bewijzen
- uitvoeren
- uitvoering
- bestaat
- Verklaart
- exploitatie
- Exploited
- faciliterende
- feit
- Voordelen
- bevindingen
- Voornaam*
- vijf
- fout
- gebreken
- stroom
- Voor
- gevonden
- oprichter
- oppompen van
- Fujitsu
- verder
- hiaten
- Algemeen
- het krijgen van
- Goes
- bewaker
- gebeuren
- Hard
- Hardware
- hoed
- Hebben
- he
- hier
- hijack
- Echter
- HP
- HTTPS
- identificeren
- beeld
- afbeeldingen
- Impact
- beïnvloed
- impact
- Effecten
- implicaties
- in
- Inclusief
- onafhankelijk
- wat aangeeft
- individueel
- Infrastructuur
- invoer
- binnen
- integriteit
- Intel
- Interface
- in
- inventaris
- onderzoek
- kwestie
- problemen
- IT
- HAAR
- zelf
- jpg
- voor slechts
- sleutel
- laboratorium
- laptop
- LED
- Lenovo
- Niveau
- bibliotheken
- als
- Lijst
- laden
- logo
- London
- te verlagen
- groot
- malware
- Fabrikant
- Fabrikanten
- veel
- maten
- maatregelen
- mechanisme
- miljoenen
- verkleinen
- minimaliseren
- verzachting
- gewijzigd
- meest
- msi
- meervoudig
- Dan moet je
- volgende
- volgende week
- nota
- bekend
- notificatie
- opmerkend
- November
- nu
- voorkomend
- of
- bieden
- Officieel
- vaak
- on
- EEN
- geopend
- werkzaam
- or
- origineel
- oorspronkelijk
- OS
- Overige
- Overig
- buiten
- over
- deel
- Patches
- PC
- PCs
- persoonlijk
- fase
- Feniks
- Fysiek
- Plato
- Plato gegevensintelligentie
- PlatoData
- potentieel
- aangedreven
- presenteren
- Voorafgaand
- bevoorrecht
- verwerking
- Beloften
- zorgen voor
- biedt
- gepubliceerde
- liever
- bereiken
- Lees
- realiseerde
- verwant
- uitgebracht
- vertrouwen
- verslag
- gemeld
- onderzoek
- onderzoekers
- Risico
- wortel
- s
- Samsung
- zegt
- gepland
- scherm
- secties
- beveiligen
- veiligheid
- Veiligheidsmaatregelen
- reeks
- strengheid
- Verzending
- moet
- tonen
- sinds
- bron
- Spectrum
- gestart
- blijven
- Still
- dergelijk
- leveranciers
- het leveren van
- geneigd
- system
- Systems
- T
- ingenomen
- Talk
- Tandem
- team
- Technologies
- Technologie
- neem contact
- dat
- De
- hun
- Ze
- Er.
- Deze
- ze
- dit
- deze week
- bedreiging
- bedreigingsactoren
- bedreigingen
- drie
- Dus
- naar
- triggering
- Trust
- vertrouwde
- types
- ongedekt
- tot
- bijwerken
- bijgewerkt
- updates
- gebruikt
- gebruikers
- BEVESTIG
- divers
- verkoper
- vendors
- geverifieerd
- versie
- via
- kwetsbaarheden
- was
- Manier..
- we
- week
- waren
- wanneer
- welke
- WIE
- wijd verspreid
- wil
- Met
- binnen
- wereldwijd
- u
- Your
- zephyrnet
- nul