Plusieurs vulnérabilités de sécurité, collectivement nommées LogoFAIL, affectent les composants d'analyse d'images dans le code UEFI de divers fournisseurs. Les chercheurs préviennent qu'ils pourraient être exploités pour détourner le flux d'exécution du processus de démarrage et fournir des bootkits.

Étant donné que les problèmes résident dans les bibliothèques d'analyse d'images, que les fournisseurs utilisent pour afficher les logos lors de la routine de démarrage, ils ont un impact considérable et s'étendent aux architectures x86 et ARM.

Selon les chercheurs de la plateforme de sécurité de la chaîne d'approvisionnement du micrologiciel Binarly, la marque a introduit des risques de sécurité inutiles, permettant d'exécuter des charges utiles malveillantes en injectant des fichiers image dans la partition système EFI (ESP).

Découverte et impact de LogoFAIL

L'abus des analyseurs d'images pour des attaques sur l'UEFI (Unified Extensible Firmware Interface) a été démontré en 2009 lorsque les chercheurs Rafal Wojtczuk et Alexander Tereshkin ont présenté comment un bug de l'analyseur d'images BMP pourrait être exploité pour infecter le BIOS afin de détecter la persistance des logiciels malveillants.

La découverte des vulnérabilités LogoFAIL a commencé comme un petit projet de recherche sur les surfaces d'attaque des composants d'analyse d'images dans le contexte d'un code d'analyse personnalisé ou obsolète dans le micrologiciel UEFI.

Les chercheurs ont découvert qu'un attaquant pourrait stocker une image ou un logo malveillant sur la partition système EFI (ESP) ou dans des sections non signées d'une mise à jour du micrologiciel.

L'implantation de logiciels malveillants de cette manière garantit une persistance sur le système pratiquement indétectable, comme l'ont illustré les attaques passées exploitant des composants UEFI infectés. [1, 2].

LogoFAIL n'affecte pas l'intégrité d'exécution car il n'est pas nécessaire de modifier le chargeur de démarrage ou le firmware, une méthode observée avec la vulnérabilité BootHole ou le bootkit BlackLotus.

Dans une vidéo que Binarly a partagée en privé avec BleepingComputer, l'exécution du script de preuve de concept (PoC) et le redémarrage de l'appareil ont abouti à la création d'un fichier arbitraire sur le système.

Les chercheurs soulignent que, comme il ne s’agit pas de vulnérabilités LogoFAIL spécifiques au silicium, elles affectent les fournisseurs et les puces de plusieurs fabricants. Les problèmes sont présents dans les produits de nombreux grands fabricants d’appareils qui utilisent le micrologiciel UEFI dans les appareils grand public et professionnels.

Binarly a déjà déterminé que des centaines d'appareils d'Intel, Acer, Lenovo et d'autres fournisseurs sont potentiellement vulnérables, tout comme les trois principaux fournisseurs indépendants de code de micrologiciel UEFI personnalisé : AMI, Insyde et Phoenix.

Cependant, il convient également de noter que la portée exacte de l’impact de LogoFAIL est encore à déterminer.

« Alors que nous sommes encore en train de comprendre l'étendue réelle de LogoFAIL, nous avons déjà constaté que des centaines d'appareils grand public et professionnels sont peut-être vulnérables à cette nouvelle attaque », déclarent les chercheurs.

Les détails techniques complets de LogoFAIL doivent être présentés le 6 décembre lors de la conférence sur la sécurité Black Hat Europe à Londres.

Selon le résumé de la présentation de LogoFAILles chercheurs ont divulgué leurs résultats à plusieurs fournisseurs d'appareils (Intel, Acer, Lenovo) et aux trois principaux fournisseurs UEFI.