Les vulnérabilités de l’UEFI exposent les appareils aux attaques logicielles furtives

Ces failles, collectivement appelées LogoFAIL par Binarly, « peuvent être utilisées par des acteurs menaçants pour délivrer une charge utile malveillante et contourner Secure Boot, Intel Boot Guard et d’autres technologies de sécurité par conception ».

En outre, elles peuvent être utilisées pour contourner les solutions de sécurité et diffuser des logiciels malveillants persistants sur les systèmes compromis pendant la phase de démarrage en injectant un fichier image logo malveillant dans la partition système EFI.

Plus précisément, ces vulnérabilités sont déclenchées lorsque les images injectées sont analysées, ce qui entraîne l’exécution de charges utiles susceptibles de détourner le flux et de contourner les mécanismes de sécurité.

« Ce vecteur d’attaque peut permettre à un attaquant de contourner la plupart des solutions de sécurité des terminaux et de fournir un bootkit firmware furtif qui persistera dans une partition ESP ou une capsule firmware avec une image de logo modifiée », a déclaré l’entreprise de sécurité firmware.

Ce faisant, les acteurs de la menace pourraient prendre le contrôle des hôtes concernés, ce qui permettrait de déployer des logiciels malveillants persistants pouvant passer inaperçus.

Contrairement à BlackLotus ou BootHole, il convient de noter que LogoFAIL ne rompt pas l’intégrité de l’exécution en modifiant le chargeur d’amorçage ou le composant du micrologiciel. Cependant, il permet aux attaquants de modifier les images de logo existantes stockées dans la mémoire du système sans invalider les signatures numériques. Par conséquent, cela permettrait l’exécution de codes malveillants au cours des premiers processus de démarrage, avant que les solutions de sécurité ne soient chargées. Il est donc difficile pour les techniques de détection traditionnelles d’identifier la compromission.
Les failles affectent tous les principaux IBV tels que AMI, Insyde et Phoenix, ainsi que des centaines d’appareils grand public et professionnels de fournisseurs tels qu’Intel, Acer et Lenovo, ce qui en fait un problème à la fois grave et répandu.

Cette divulgation constitue la première démonstration publique des surfaces d’attaque liées aux analyseurs d’images graphiques intégrés dans le micrologiciel du système UEFI depuis 2009, lorsque les chercheurs Rafal Wojtczuk et Alexander Tereshkin ont montré comment un bogue d’analyseur d’images BMP pouvait être exploité pour la persistance des logiciels malveillants.

« Les types – et le volume – de vulnérabilités de sécurité découvertes […] montrent la maturité de la sécurité des produits et la qualité du code en général sur le code de référence IBV », a noté M. Binarly.