L'attaque LogoFAIL peut installer des bootkits UEFI via des logos de démarrage

Plusieurs vulnérabilités de sécurité, collectivement nommées LogoFAIL, affectent les composants d'analyse d'images dans le code UEFI de divers fournisseurs. Les chercheurs préviennent qu'ils pourraient être exploités pour détourner le flux d'exécution du processus de démarrage et fournir des bootkits.

Étant donné que les problèmes résident dans les bibliothèques d'analyse d'images, que les fournisseurs utilisent pour afficher les logos lors de la routine de démarrage, ils ont un impact considérable et s'étendent aux architectures x86 et ARM.

Selon les chercheurs de la plateforme de sécurité de la chaîne d'approvisionnement du micrologiciel Binarly, la marque a introduit des risques de sécurité inutiles, permettant d'exécuter des charges utiles malveillantes en injectant des fichiers image dans la partition système EFI (ESP).

Découverte et impact de LogoFAIL

L'abus des analyseurs d'images pour des attaques sur l'UEFI (Unified Extensible Firmware Interface) a été démontré en 2009 lorsque les chercheurs Rafal Wojtczuk et Alexander Tereshkin ont présenté comment un bug de l'analyseur d'images BMP pourrait être exploité pour infecter le BIOS afin de détecter la persistance des logiciels malveillants.

Publicité

La découverte des vulnérabilités LogoFAIL a commencé comme un petit projet de recherche sur les surfaces d'attaque des composants d'analyse d'images dans le contexte d'un code d'analyse personnalisé ou obsolète dans le micrologiciel UEFI.

Les chercheurs ont découvert qu'un attaquant pourrait stocker une image ou un logo malveillant sur la partition système EFI (ESP) ou dans des sections non signées d'une mise à jour du micrologiciel.

« Lorsque ces images sont analysées lors du démarrage, la vulnérabilité peut être déclenchée et une charge utile contrôlée par un attaquant peut être exécutée arbitrairement pour détourner le flux d'exécution et contourner les fonctionnalités de sécurité telles que le démarrage sécurisé, y compris les mécanismes de démarrage vérifiés basés sur le matériel (comme Intel Boot Guard, Démarrage validé par le matériel AMD ou démarrage sécurisé basé sur ARM TrustZone) » – Binaire

Échec du logo

L'implantation de logiciels malveillants de cette manière garantit une persistance sur le système pratiquement indétectable, comme l'ont illustré les attaques passées exploitant des composants UEFI infectés. [1, 2].

LogoFAIL n'affecte pas l'intégrité d'exécution car il n'est pas nécessaire de modifier le chargeur de démarrage ou le firmware, une méthode observée avec la vulnérabilité BootHole ou le bootkit BlackLotus.

Dans une vidéo que Binarly a partagée en privé avec BleepingComputer, l'exécution du script de preuve de concept (PoC) et le redémarrage de l'appareil ont abouti à la création d'un fichier arbitraire sur le système.

Les chercheurs soulignent que, comme il ne s’agit pas de vulnérabilités LogoFAIL spécifiques au silicium, elles affectent les fournisseurs et les puces de plusieurs fabricants. Les problèmes sont présents dans les produits de nombreux grands fabricants d’appareils qui utilisent le micrologiciel UEFI dans les appareils grand public et professionnels.

Binarly a déjà déterminé que des centaines d'appareils d'Intel, Acer, Lenovo et d'autres fournisseurs sont potentiellement vulnérables, tout comme les trois principaux fournisseurs indépendants de code de micrologiciel UEFI personnalisé : AMI, Insyde et Phoenix.

Cependant, il convient également de noter que la portée exacte de l’impact de LogoFAIL est encore à déterminer.

« Alors que nous sommes encore en train de comprendre l'étendue réelle de LogoFAIL, nous avons déjà constaté que des centaines d'appareils grand public et professionnels sont peut-être vulnérables à cette nouvelle attaque », déclarent les chercheurs.

Les détails techniques complets de LogoFAIL doivent être présentés le 6 décembre lors de la conférence sur la sécurité Black Hat Europe à Londres.

Selon le résumé de la présentation de LogoFAILles chercheurs ont divulgué leurs résultats à plusieurs fournisseurs d'appareils (Intel, Acer, Lenovo) et aux trois principaux fournisseurs UEFI.

4.3/5 - (35 votes)
Publicité
Article précédentLes smartphones en première ligne des révolutions intimes
Article suivantFortnite achève la transition vers la plate-forme PS5 et PS4 à part entière avec LEGO et Racing Games
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici