Codul malițios sau vulnerabilitățile sunt raportate destul de des, dar rareori se întâmplă ceva de genul a ceea ce a fost semnalat la Binarly.
Vulnerabilitatea descoperită de cercetătorii în domeniul securității se numește LogoFAIL, deoarece folosește o vulnerabilitate în funcția de interpretare a imaginilor din firmware-ul UEFI pentru a înlocui logo-ul care apare la pornirea sistemului și injectează un cod malițios în EEPROM care conține firmware-ul UEFI. Deoarece acest lucru permite activarea codului malițios înainte de orice protecție hardware și software, este extrem de dificil de detectat și greu de eliminat. Prin intermediul acestei vulnerabilități, codul malițios neutralizează orice protecție care a fost concepută inițial pentru a preveni atacurile bazate pe bootkit.
Defectul afectează numeroase configurații de plăci de bază, PC și notebook-uri care rulează firmware-ul UEFI AMI, Insyde sau Phoenix, indiferent dacă acestea rulează Linux sau Windows. O amenințare pentru sistemele bazate pe Intel, AMD și ARM, LogoFAIL funcționează pe orice platformă în care este posibilă rescrierea logo-ului de boot, deoarece rutina de procesare a imaginii conține o vulnerabilitate.
Potrivit experților Binarly, atacul are loc atunci când Driver Execution Environment este activat după un proces POST reușit. DXE-ul în sine este responsabil pentru pornirea proceselor necesare pentru procesul de boot, astfel încât procesorul, chipset-ul și alte câteva componente sunt inițializate, într-o ordine predefinită desigur, astfel încât procesul de boot să se desfășoare corect. În atacul LogoFAIL, logo-ul de boot UEFI este ținta codului malițios, iar procesul DXE continuă ca și cum nimic nu s-ar fi întâmplat.
Atacul a fost demonstrat pe un Lenovo ThinkCentre M70s cu un procesor din seria Intel Core din generația a 11-a, care folosea atât protecția Intel Secure Boot, cât și Boot Guard, și cel mai recent firmware UEFI disponibil la momentul respectiv. Potrivit fondatorului și directorului executiv al Binarly, Alex Matrodov, atacul ar putea avea succes datorită unei vulnerabilități în bibliotecile de procesare a imaginilor utilizate de UEFI.
Natura acesteia îl face capabil să ocolească atât CPU și sistemul de operare, cât și soluțiile de protecție ale furnizorilor terți. Deoarece codul malițios nu se află în memoria de date, ci este încorporat în EEPROM care conține firmware-ul UEFI, acesta nu poate fi eliminat prin reinstalarea sistemului de operare. Codul malițios instalat poate descărca ulterior un bootkit pe care nici o soluție de securitate nu îl poate detecta sau elimina, ceea ce face ca vulnerabilitatea să fie extrem de periculoasă și, din punctul de vedere al atacatorului, destul de eficientă. Deocamdată nu se știe dacă vulnerabilitatea a fost exploatată, adică dacă au existat infecții specifice. Suprascrierea firmware-ului infectat sau resetarea logo-ului de pornire ar trebui, teoretic, să elimine codul malițios.
Vestea bună este că mulți producători de echipamente originale, inclusiv Dell, nu permit modificarea propriilor logo-uri UEFI, astfel încât aceste sisteme sunt în siguranță și nu sunt afectate de vulnerabilitate. De asemenea, diversele configurații Mac ale Apple desktop și mobile Mac, în care hardware-ul și software-ul sunt dezvoltate intern de către Apple, sunt sigure și în care nu este posibilă modificarea imaginilor stocate în UEFI. Același lucru este valabil și pentru configurațiile Mac mai vechi care încă folosesc procesoare Intel.
Pentru toate celelalte sisteme în care capacitatea de a modifica imaginile afișate în timpul procesului de pornire a fost dezactivată de către integratorul sistemului, utilizatorii sunt în siguranță, deoarece LogoFAIL este ineficient împotriva lor. În alte cazuri, va trebui să instalați actualizarea UEFI care va veni mai târziu, deoarece aceasta va închide portița.
Producătorii OEM și producătorii de plăci de bază lucrează la crearea de actualizări, așa că merită să verificați site-ul oficial al producătorului plăcii de bază și al configurației pentru a vedea dacă a fost lansată o actualizare care să vă protejeze împotriva LogoFAIL.