Un recente studio condotto da Binarly Research, con grande dispiegamento di energie e risorse, ha gettato una luce preoccupante sul mondo della sicurezza informatica. Secondo il rapporto, centinaia di modelli di computer Windows e Linux, provenienti da praticamente quasi tutti i produttori di hardware, sono vulnerabili a potenziali attacchi che consentirebbero l’esecuzione di firmware dannoso durante il processo di avvio. Queste vulnerabilità, battezzate LogoFAIL, sono particolarmente inquietanti in quanto sono quasi impossibili da rilevare o rimuovere, nonché ulteriormente possono essere sfruttate con relativa facilità da un attaccante preparato.
Il team di Binarly Research ha indagato approfonditamente sugli elementi vulnerabili nell’analisi delle immagini nell’intero ecosistema del firmware UEFI. Sorprendentemente, la ricerca ha rivelato che tutti i principali produttori di dispositivi, sia quelli basati su architettura x86 che su ARM, possono essere coinvolti in questa vulnerabilità.
La vulnerabilità si concentra sui parser di immagini utilizzati per visualizzare i loghi durante l’avvio o nella configurazione del BIOS.
Questi parser, in teoria, dovrebbero garantire una corretta visualizzazione del logo, ma le personalizzazioni introdotte dai produttori, come la possibilità di modificare il logo di avvio, aprono una porta per possibili attacchi.
Normalmente, il logo viene letto direttamente da un volume firmware, spesso protetto da tecnologie di avvio verificate basate su hardware come Intel Boot Guard. Tuttavia, i LogoFAIL sfruttano una falla nel sistema, consentendo agli aggressori di inserire moduli dannosi anziché limitarsi a personalizzare il logo.
Il bootloader UEFI, l’ESP (EFI System Partition), è stato identificato come un obiettivo principale per moderni bootkit UEFI come ESPecter e FinSpy. Questi attacchi sostituiscono i bootloader del sistema operativo, ottenendo così la capacità di persistere per manovre future, mettendo a rischio la sicurezza dell’intero sistema.
Il pericolo aumenta ulteriormente quando si considerano le personalizzazioni specifiche dell’OEM (Original Equipment Manufacturer) di ogni produttore. Le funzionalità di personalizzazione diventano una nuova superficie di attacco, poiché consentono agli aggressori di modificare il logo durante l’avvio del sistema e lanciare attacchi basati sui dati personalizzati.
L’exploit di queste vulnerabilità dipende ovviamente dalla capacità dell’utente di inserire dati nei parser, limitandone quindi per ora l’uso ad utenze esperte o a kit di attacco molto personalizzati e costosi.
Quando questi parser sono utilizzati per visualizzare un logo durante l’avvio e possono essere manipolati da un utente malintenzionato, la minaccia di LogoFAIL diventa tangibile.
Per chi desidera approfondire la questione e comprendere il processo dettagliato, Binarly Research ha reso disponibili informazioni aggiuntive e la prova di concetto (POC) nel seguente link: LogoFAIL: The Dangers of Image Parsing During System Boot.
Inoltre, per ulteriori dettagli sull’impatto su scala più ampia dell’industria del software, incluso il rilascio di codice sorgente MSI con chiavi OEM Intel trapelate, si consiglia di consultare il seguente link: Leaked MSI Source Code with Intel OEM Keys: How Does This Affect Industry-Wide Software Supply Chain?.
La comunità della sicurezza informatica è ora chiamata a prestare particolare attenzione a queste vulnerabilità e ad adottare le contromisure necessarie per proteggere i sistemi da potenziali attacchi che potrebbero sfruttare le falle esposte da LogoFAIL.
#LogoFail #exploit #cyberthreat #newmenace #parser #cybersecurity #BinarlyResearch #Observere #SystemBoot
