Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk

[Captain Kirk]

Het logo dat computerfabrikanten laten zien tijdens het opstarten van de computer kan door aanvallers worden gebruikt om beveiligingsmaatregelen als Secure Boot te omzeilen en systemen stilletjes met bootkits te infecteren, zo hebben onderzoekers van securitybedrijf Binarly ontdekt. Die hebben hun aanval, die het fabrikantenlogo als aanvalsvector gebruikt, 'LogoFAIL' genoemd.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

Voor het weergeven van het logo maken de UEFI-leveranciers gebruik van verschillende libraries. Deze libraries blijken meerdere kwetsbaarheden te bevatten die via een malafide logo zijn te misbruiken. Via de beveiligingslekken is het mogelijk voor een aanvaller om een UEFI-bootkit te installeren en zo vergaande controle over het systeem te krijgen. Verschillende UEFI-leveranciers bieden gebruikers de mogelijkheid om een eigen logo te gebruiken. Een aanvaller die toegang tot het systeem heeft zou op deze manier zijn malafide logo tijdens het opstarten van de computer kunnen laten uitvoeren.

Een andere mogelijke aanvalsvector is het proces om firmware te updaten. Firmware-updates zijn standaard gesigneerd, maar dat geldt niet voor de gedeeltes die het logo bevatten. Een derde methode is het gebruik van een SPI flash programmer. Dit vereist wel dat de aanvaller fysieke toegang tot de computer heeft. Volgens de onderzoekers is het via LogoFAIL mogelijk om de veiligheid van het gehele systeem te compromitteren.

De impact van de LogoFAIL-kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2. De onderzoekers hebben hun bevindingen aan verschillende laptopfabrikanten gemeld, alsmede UEFI-leveranciers. Gisteren presenteerden ze hun bevindingen tijdens Black Hat Europe. Daarbij stellen de onderzoekers dat LogoFAIL veel krachtiger is dan de BlackLotus-bootkit waarvoor Microsoft en de NSA waarschuwden. Verschillende UEFI-leveranciers en laptopfabrikanten, zoals Lenovo en AMI, hebben waarschuwingen en updates uitgebracht.

Update

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit laat weten dat een aanvaller via LogoFAIL UEFI-beveiligingsmaatregelen zoals SecureBoot kan uitschakelen, de UEFI-bootvolgorde kan aanpassen en ongewenste software kan uitvoeren om het besturingssysteem te infecteren.

 

 

bron: https://www.security.nl