De Unified Extensible Firmware Interface (UEFI)-code van verschillende onafhankelijke firmware/BIOS-leveranciers (IBV’s) is kwetsbaar gebleken voor potentiële aanvallen vanwege grote impactfouten in beeldparseringsbibliotheken die in de firmware zijn ingebed.
De tekortkomingen, gezamenlijk bestempeld LogoFAIL door Binarly, “kan door bedreigingsactoren worden gebruikt om een kwaadaardige lading af te leveren en Secure Boot, Intel Boot Guard en andere beveiligingstechnologieën by design te omzeilen.”
Bovendien kunnen ze worden ingezet om beveiligingsoplossingen te omzeilen en tijdens de opstartfase persistente malware af te leveren aan gecompromitteerde systemen door een kwaadaardig logo-afbeeldingsbestand in de EFI-systeempartitie te injecteren.
Hoewel de problemen niet siliciumspecifiek zijn, wat betekent dat ze van invloed zijn op zowel x86- als ARM-gebaseerde apparaten, zijn ze ook UEFI- en IBV-specifiek. De kwetsbaarheden omvatten een heap-gebaseerde buffer overflow-fout en een out-of-bounds read, waarvan de details naar verwachting later deze week openbaar zullen worden gemaakt op de Black Hat Europe-conferentie.
Deze kwetsbaarheden worden met name geactiveerd wanneer de geïnjecteerde afbeeldingen worden geparseerd, wat leidt tot de uitvoering van payloads die de stroom kunnen kapen en beveiligingsmechanismen kunnen omzeilen.
“Deze aanvalsvector kan een aanvaller een voordeel geven bij het omzeilen van de meeste eindpuntbeveiligingsoplossingen en het leveren van een stealth-firmware-bootkit die blijft bestaan in een ESP-partitie of firmware-capsule met een aangepast logo-afbeelding”, aldus het firmware-beveiligingsbedrijf.
Door dit te doen, kunnen bedreigingsactoren verschanste controle krijgen over de getroffen hosts, wat resulteert in de inzet van persistente malware die onder de radar kan vliegen.
In tegenstelling tot BlackLotus of BootHole is het vermeldenswaard dat LogoFAIL de runtime-integriteit niet verbreekt door de bootloader of de firmwarecomponent te wijzigen.
De fouten treffen alle grote IBV’s zoals AMI, Insyde en Phoenix, evenals honderden consumenten- en bedrijfsapparaten van leveranciers, waaronder Intel, Acer en Lenovo, waardoor de problemen zowel ernstig als wijdverspreid zijn.
De onthulling markeert de eerste openbare demonstratie van aanvalsoppervlakken gerelateerd aan grafische beeldparsers ingebed in de UEFI-systeemfirmware sinds 2009, toen onderzoekers Rafal Wojtczuk en Alexander Tereshkin presenteerden hoe een BMP-beeldparserbug kon worden uitgebuit voor persistentie van malware.
“De aard – en de omvang – van de ontdekte beveiligingskwetsbaarheden […] tonen pure volwassenheid van productbeveiliging en codekwaliteit in het algemeen op de referentiecode van IBV’, merkte Binarly op.
