Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk
Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd.
De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren.
Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren.
De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht.
Update
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren.
https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/index.html
"Sommige leveranciers zoals Dell zijn om twee redenen niet direct exploiteerbaar. Ten eerste distribueert Dell uefi firmware waarbij het logo wordt beschermd door Intel Boot Guard en dus niet kan worden vervangen door een aanvaller, zelfs niet met een fysieke aanval. Ten tweede biedt Dell geen logo-aanpassingen en beveiligt dus effectief tegen LogoFAIL. Maar ondanks dat deze apparaten geen direct risico vormen, bevatten ze nog steeds image parsers met zeer ernstige kwetsbaarheden die verholpen moeten worden, omdat ze een gevaar vormen dat onbedoeld in een beveiligingsprobleem kan veranderen."
Zie op bovenstaande website de tabel onderaan waarbij "LOGOFAIL exploitable devices" nul is.
Voorlopige stand : Dell, Fujitsu, Gigabyte, HP, MSI, Samsung, en Supermicro : niet direct kwetsbaar voor LOGOFAIL, "no exploitable devices" (wel uit te buiten image parsers, dus dit moet nog verholpen worden met een Uefi update)
Lenovo, Intel en Acer laten toe dat de afbeeldingen van de logo's in UEFI veranderd worden, dus wel direct kwetsbaar.
Hier is de verwachte datum van de Uefi-update bij de modellen van Lenovo :
https://support.lenovo.com/us/en/product_security/LEN-145284
BIOS dus. Die heeft in tegenstelling tot UEFI geen secure boot (is ook niet nodig voor de meeste consumenten denk ik).
De meeste consumenten lopen tegenwoordig met een mobieltje of tablet rond en gebruiken zelden een desktop.
Je bent oud genoeg om beter te weten.
BIOS was en is een enorme lappendeken van kludges om steeds verder opgerekte standaarden uit de jaren 80 te misbruiken met hardware die over alle grenzen heen gegroeid was.
disken in cylinder/track/sector , "large disk" , LBA , dan disken die te groot waren om in 2^32 blocks van 512 byte te adresseren , beperkt tot MS-DOS partitie formaat , wat ook weer beperkt is in maximale grootte .
https://tldp.org/HOWTO/Large-Disk-HOWTO-4.html
en ook al beperkt tot het model dat boot gebeurt van een lokale harddisk (of floppy disk) .
Dan is een clean sheet design dat breder is dan x86 , support voor veel grotere disken, support voor boot vanaf network storage (iscsi/fcoe ) , support voor een beter partitieformaat (gpt) echt geen grote samenzwering.
https://en.wikipedia.org/wiki/UEFI
Vooral omdat TPM feitelijk los staat van UEFI.
UEFI bedoelt U?
Wordt hier niet malafide UEFI-logo bedoelt? BIOS gebruiken we al 20 jaar niet meer.
Wordt hier niet malafide UEFI-logo bedoelt? BIOS gebruiken we al 20 jaar niet meer.
Zo heb ik bijvoorbeeld nog regelmatig een BIOS update voor mijn UEFI firmware.
Maar ik ben dan ook een adigibeet ;-(
https://www.bleepingcomputer.com/news/security/logofail-attack-can-install-uefi-bootkits-through-bootup-logos/
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
