image

Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk

donderdag 7 december 2023, 14:17 door Redactie, 16 reacties
Laatst bijgewerkt: 07-12-2023, 14:54

Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren.

Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren.

De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht.

Update

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren.

Reacties (16)
07-12-2023, 14:36 door Anoniem
Ik begin meer het idee te krijgen dat bios best veilig was tav eufi.
07-12-2023, 15:08 door Anoniem
Blijkbaar loopt Dell geen gevaar aangezien ze hun logo hardcoded in hun Uefi staan hebben. Macs zijn ook niet kwetsbaar.
07-12-2023, 15:16 door gel - Bijgewerkt: 07-12-2023, 16:16
De ontdekker van deze uefi-logo-kwetsbaarheid beweert dat Dell uefi toch kwetsbaar is :
https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html

"Sommige leveranciers zoals Dell zijn om twee redenen niet direct exploiteerbaar. Ten eerste distribueert Dell uefi firmware waarbij het logo wordt beschermd door Intel Boot Guard en dus niet kan worden vervangen door een aanvaller, zelfs niet met een fysieke aanval. Ten tweede biedt Dell geen logo-aanpassingen en beveiligt dus effectief tegen LogoFAIL. Maar ondanks dat deze apparaten geen direct risico vormen, bevatten ze nog steeds image parsers met zeer ernstige kwetsbaarheden die verholpen moeten worden, omdat ze een gevaar vormen dat onbedoeld in een beveiligingsprobleem kan veranderen."

Zie op bovenstaande website de tabel onderaan waarbij "LOGOFAIL exploitable devices" nul is.

Voorlopige stand : Dell, Fujitsu, Gigabyte, HP, MSI, Samsung, en Supermicro : niet direct kwetsbaar voor LOGOFAIL, "no exploitable devices" (wel uit te buiten image parsers, dus dit moet nog verholpen worden met een Uefi update)

Lenovo, Intel en Acer laten toe dat de afbeeldingen van de logo's in UEFI veranderd worden, dus wel direct kwetsbaar.

Hier is de verwachte datum van de Uefi-update bij de modellen van Lenovo :
https://support.lenovo.com/us/en/product_security/LEN-145284
07-12-2023, 16:59 door Anoniem
Ik heb een ASUS moederbord in mijn handen gehad. Begin deze eeuw denk ik. Daarin kon je een eigen foto als opstart logo toevoegen aan de BIOS. Met officiële software!

BIOS dus. Die heeft in tegenstelling tot UEFI geen secure boot (is ook niet nodig voor de meeste consumenten denk ik).
07-12-2023, 17:12 door Anoniem
Als de aanvaller geen toegang tot het systeem heeft wordt het toch moeilijk om deze aanval uit te voeren.
07-12-2023, 19:02 door johanw
Door Anoniem: Ik begin meer het idee te krijgen dat bios best veilig was tav eufi.
Het "probleem" mrt BIOS was voornamelijk dat het gebruikers in staaat stelde van alles op hun machine te installeren, bijvoorbeeld ook software die zich niks van DRM systemen aantrekt.
07-12-2023, 19:40 door Anoniem
Door Anoniem: BIOS dus. Die heeft in tegenstelling tot UEFI geen secure boot (is ook niet nodig voor de meeste consumenten denk ik).

De meeste consumenten lopen tegenwoordig met een mobieltje of tablet rond en gebruiken zelden een desktop.
08-12-2023, 00:42 door Anoniem
Door johanw:
Door Anoniem: Ik begin meer het idee te krijgen dat bios best veilig was tav eufi.
Het "probleem" mrt BIOS was voornamelijk dat het gebruikers in staaat stelde van alles op hun machine te installeren, bijvoorbeeld ook software die zich niks van DRM systemen aantrekt.

Je bent oud genoeg om beter te weten.
BIOS was en is een enorme lappendeken van kludges om steeds verder opgerekte standaarden uit de jaren 80 te misbruiken met hardware die over alle grenzen heen gegroeid was.

disken in cylinder/track/sector , "large disk" , LBA , dan disken die te groot waren om in 2^32 blocks van 512 byte te adresseren , beperkt tot MS-DOS partitie formaat , wat ook weer beperkt is in maximale grootte .
https://tldp.org/HOWTO/Large-Disk-HOWTO-4.html

en ook al beperkt tot het model dat boot gebeurt van een lokale harddisk (of floppy disk) .

Dan is een clean sheet design dat breder is dan x86 , support voor veel grotere disken, support voor boot vanaf network storage (iscsi/fcoe ) , support voor een beter partitieformaat (gpt) echt geen grote samenzwering.

https://en.wikipedia.org/wiki/UEFI

Vooral omdat TPM feitelijk los staat van UEFI.
08-12-2023, 08:31 door Bitje-scheef
Probleem met Bios is dat extra zaken niet zomaar meer konden, zoals een Windows Key, sneller opstarten, grotere disk ondersteuning, etc. Is UEFI een verbetering ? In dat opzicht zeker wel. Bios is max 16-bit en liep tegen de limieten aan.
08-12-2023, 11:01 door Anoniem
Door johanw:
Door Anoniem: Ik begin meer het idee te krijgen dat bios best veilig was tav eufi.
Het "probleem" mrt BIOS was voornamelijk dat het gebruikers in staaat stelde van alles op hun machine te installeren, bijvoorbeeld ook software die zich niks van DRM systemen aantrekt.

UEFI bedoelt U?
08-12-2023, 11:10 door Anoniem
Heeft mijn Linux bios https://www.coreboot.org/ hier ook last van?
08-12-2023, 11:21 door Anoniem
Door Bitje-scheef: Probleem met Bios is dat extra zaken niet zomaar meer konden, zoals een Windows Key, sneller opstarten, grotere disk ondersteuning, etc. Is UEFI een verbetering ? In dat opzicht zeker wel. Bios is max 16-bit en liep tegen de limieten aan.
Gebruik coreboot dat is ook veel sneller opstarten (zie Chromebooks). Dit is weer zo'n typisch windows eco probleem.
08-12-2023, 15:45 door Anoniem
Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk

Wordt hier niet malafide UEFI-logo bedoelt? BIOS gebruiken we al 20 jaar niet meer.
08-12-2023, 19:54 door Anoniem
Door Anoniem:
Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk

Wordt hier niet malafide UEFI-logo bedoelt? BIOS gebruiken we al 20 jaar niet meer.
Die termen worden ook door de computerfabrikanten vaal door elkaar gebruikt.
Zo heb ik bijvoorbeeld nog regelmatig een BIOS update voor mijn UEFI firmware.
Maar ik ben dan ook een adigibeet ;-(
09-12-2023, 10:57 door Anoniem
Abusing image parsers for attacks on the Unified Extensible Firmware Interface (UEFI) was demonstrated in 2009 when researchers Rafal Wojtczuk and Alexander Tereshkin presented how a BMP image parser bug could be exploited to infect the BIOS for malware persistence. [Black Hat USA, July 30 2009 Las Vegas]

https://www.bleepingcomputer.com/news/security/logofail-attack-can-install-uefi-bootkits-through-bootup-logos/
14-12-2023, 16:23 door Anoniem
nou als je een Acer laptop heeft kan je het schuden...is niet uit te schakelen ...lekker bij de hand...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.