LogoFAIL, una vulnerabilità di sicurezza che si annida in UEFI e mette in pericolo Linux e Windows

Raoul Scarazzini
6

Nuove e mirabolanti superfici d’attacco senza barriere di sistema operativo o architettura… Se ne sentiva la mancanza vero? Ecco a voi LogoFAIL, un attacco che sfrutta l’immagine che appare solitamente in fase di boot dei dispositivi (laptop o desktop non fa differenza) per eseguire codice nel momento peggiore: ossia quando non c’è alcuna protezione poiché di fatto ancora nulla è stato caricato a livello di sistema operativo.

La modalità in cui la vulnerabilità viene sfruttata è mediante UEFI e, cosa ancora più “interessante” per così dire, probabilmente è in giro proprio da quando esiste UEFI, ecco perché nel tweet che segue, il ricercatore di BINARLY (l’azienda che ha scoperto il problema) ne parla in maniera piuttosto allarmante:

Non a caso BINARLY produce una piattaforma per la gestione della produzione dei firmware, ed è proprio a quel livello che bisogna agire per sistemare le cose.

Come racconta ZDNet l’attacco sfrutta i parser di immagini UEFI (quindi appunto i loghi che vengono visualizzati al boot) e fa riferimento a questi programmi che eseguono il rendering dei loghi dell’immagine di avvio, essendo incorporati in UEFI dai principali fornitori di BIOS indipendenti (IBV), come AMI, Insyde e Phoenix.

Il team di Binarly ha individuato 29 problemi di sicurezza, 15 dei quali sfruttabili per l’esecuzione di codice arbitrario. Quindi chi attacca rimpiazza le immagini con delle altre identiche che però portano con sé anche il codice che sfrutta le vulnerabilità rilevate nei parser e da lì in poi l’attacco si evolve, muovendosi in quello che è lo spazio prima dell’avvio del sistema operativo, che si chiama Driver Execution Environment (DXE).

Perché è così pericoloso? Lo spiegano direttamente i ricercatori: una volta che c’è il controllo totale della memoria e del disco del device infetto (e questo avviene a prescindere dal sistema operativo) tutta la piattaforma diventa insicura. Pensate solo se venisse sostituito un eseguibile nel disco prima che il sistema operativo venga avviato… Praticamente il paradiso dei rootkit.

Se qualcuno se lo sta chiedendo, chiaramente per tutelarsi le vie sono sempre le solite: evitare di installare programmi da fonti insicure ed aggiornare quanto prima il proprio firmware, a cui tutti i maggiori produttori stanno già lavorando o hanno già reso disponibile, vedi AMI, Intel, Insyde, Phoenix e Lenovo.

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , ,

6 risposte a “LogoFAIL, una vulnerabilità di sicurezza che si annida in UEFI e mette in pericolo Linux e Windows”

  1. Avatar JustATiredMan
    JustATiredMan

    Ovvio che doveva succere… Bios e l’INT 19h facevano schifo ?, e allora via di Uefi che permette di avere una sorta di s.o. minimale per gestire il boot… però tho’, gira su una sua partizione disco la quale è r/w, ed è pure anche complessino come sistema di boot… e dunque vi aspettavate che non potesse avere una sua superficie di attacco ?

  2. Avatar Pietro Rewind
    Pietro Rewind

    Sento gli echi di tutti quei c0gl… Che anni fa’ dicevano no i BIOS sono una cosa obsoleta uefi blabla… Uefi non serve a una ceppa di niente, hanno solo complicato una cosa semplice e che funzionava perfettamente

  3. Avatar Black_Codec
    Black_Codec

    Quindi era meglio gestire il boot su mbr? Fammi capire la soluzione quale sarebbe secondo te?

  4. Avatar Black_Codec
    Black_Codec

    Ok quindi torniamo a mbr?

  5. Avatar Mario Bonati
    Mario Bonati

    Domanda: questo bug può essere sfruttato anche da remoto, oppure c’è bisogno che l’aggressore abbia un accesso fisico al dispositivo?
    Da come è scritto l’articolo, sembra che sia sfruttabile anche da remoto, ma visto che non viene specificato, ho preferito chiedere.

    Grazie !

  6. Avatar Raoul Scarazzini
    Raoul Scarazzini

    In realtà, da quel che si capisce nei vari report, l’utente del pc che si infetta deve “lanciare qualcosa”. Sia questo un pacchetto, uno script o altro, ma deve eseguire qualcosa. Questo significa che la “sfruttabilità” del problema è limitata solo dalla fantasia dell’attaccante.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)