Eine Reihe von Sicherheitslücken, die als LogoFAIL bekannt sind, haben die Bildanalysekomponenten im UEFI-Code verschiedener Hersteller ins Visier genommen. Klingt nach einer schlechten Action-Komödie, ist aber leider die Realität. Diese Lücken könnten ausgenutzt werden, um den Bootvorgang zu übernehmen und bösartige Bootkits einzuschleusen. Das Problem liegt in den Bildanalysebibliotheken, die von den Herstellern verwendet werden, um Logos während des Bootvorgangs anzuzeigen.
Die Forscher der Firmware-Sicherheitsplattform Binarly haben herausgefunden, dass die Einführung von Logos unnötige Sicherheitsrisiken mit sich gebracht hat. Diese Risiken ermöglichen es Angreifern, bösartige Nutzlasten auszuführen, indem sie Bilddateien in der EFI-Systempartition (ESP) injizieren. Bereits 2009 wurde gezeigt, dass Bildanalyseprogramme für Angriffe auf das UEFI genutzt werden können, als Forscher einen Fehler im BMP-Bildanalyseprogramm ausnutzten, um das BIOS für eine dauerhafte Malware-Infektion zu nutzen.
Die Entdeckung der LogoFAIL-Sicherheitslücken begann als kleines Forschungsprojekt zu Angriffsflächen von Bildanalysekomponenten in Zusammenhang mit benutzerdefiniertem oder veraltetem Parsing-Code in UEFI-Firmware. Die Forscher stellten fest, dass ein Angreifer ein bösartiges Bild oder Logo auf der EFI-Systempartition (ESP) oder in nicht signierten Abschnitten eines Firmware-Updates speichern könnte. Wenn diese Bilder während des Bootvorgangs analysiert werden, kann die Sicherheitslücke ausgelöst werden und eine von Angreifern kontrollierte Nutzlast ausgeführt werden, um den Ablauf der Ausführung zu übernehmen und Sicherheitsfunktionen wie Secure Boot zu umgehen.
Das bedeutet im Klartext: Ein Angreifer könnte eine Art “Bild-Bombe” im System platzieren und so bösartige Software einschleusen. Das ist natürlich alles andere als lustig, da die Malware dann praktisch unbemerkt im System verweilen kann. Das Ganze hat jedoch keinen Einfluss auf die Laufzeitintegrität des Systems, da keine Modifikation des Bootloaders oder der Firmware erforderlich ist, wie es bei anderen Sicherheitslücken der Fall ist. Also zumindest ein kleines Trostpflaster.
Leider betrifft LogoFAIL viele Hersteller und Chips von verschiedenen Anbietern. Es wurden bereits potenziell Hunderte von gefährdeten Geräten identifiziert, darunter Produkte von Intel, Acer, Lenovo und anderen großen Herstellern, die UEFI-Firmware in ihren Verbraucher- und Unternehmensgeräten verwenden. Sogar die drei Hauptanbieter von benutzerdefinierter UEFI-Firmware, AMI, Insyde und Phoenix, sind betroffen. Das Ausmaß der Auswirkungen ist jedoch noch nicht genau bekannt, da die Forschung noch läuft. Es ist jedoch bereits klar, dass viele Geräte anfällig für diesen neuartigen Angriff sind.
Die Forscher werden ihre vollständigen technischen Details zu LogoFAIL im Rahmen der Black Hat Europe Sicherheitskonferenz am 6. Dezember in London präsentieren. Sie haben ihre Ergebnisse bereits mehreren Geräteherstellern und den drei Hauptanbietern von UEFI offengelegt. Hoffen wir, dass diese Informationen dazu beitragen, das Problem zu lösen und unsere Systeme sicherer zu machen. In der Zwischenzeit sollten wir unsere Geräte auf dem neuesten Stand halten und wachsam bleiben. Sicherheit geht schließlich vor – auch wenn es um Logos geht.
Schlagwörter: UEFI code from various vendors + Intel Boot Guard + ESP + Acer + Lenovo
Wie bewerten Sie den Schreibstil des Artikels?