Eine Reihe von Sicherheitsl\u00fccken, die als LogoFAIL bekannt sind, haben die Bildanalysekomponenten im UEFI-Code verschiedener Hersteller ins Visier genommen. Klingt nach einer schlechten Action-Kom\u00f6die, ist aber leider die Realit\u00e4t. Diese L\u00fccken k\u00f6nnten ausgenutzt werden, um den Bootvorgang zu \u00fcbernehmen und b\u00f6sartige Bootkits einzuschleusen. Das Problem liegt in den Bildanalysebibliotheken, die von den Herstellern verwendet werden, um Logos w\u00e4hrend des Bootvorgangs anzuzeigen.<\/p>\n
Die Forscher der Firmware-Sicherheitsplattform Binarly haben herausgefunden, dass die Einf\u00fchrung von Logos unn\u00f6tige Sicherheitsrisiken mit sich gebracht hat. Diese Risiken erm\u00f6glichen es Angreifern, b\u00f6sartige Nutzlasten auszuf\u00fchren, indem sie Bilddateien in der EFI-Systempartition (ESP) injizieren. Bereits 2009 wurde gezeigt, dass Bildanalyseprogramme f\u00fcr Angriffe auf das UEFI genutzt werden k\u00f6nnen, als Forscher einen Fehler im BMP-Bildanalyseprogramm ausnutzten, um das BIOS f\u00fcr eine dauerhafte Malware-Infektion zu nutzen.<\/p>\n
Die Entdeckung der LogoFAIL-Sicherheitsl\u00fccken begann als kleines Forschungsprojekt zu Angriffsfl\u00e4chen von Bildanalysekomponenten in Zusammenhang mit benutzerdefiniertem oder veraltetem Parsing-Code in UEFI-Firmware. Die Forscher stellten fest, dass ein Angreifer ein b\u00f6sartiges Bild oder Logo auf der EFI-Systempartition (ESP) oder in nicht signierten Abschnitten eines Firmware-Updates speichern k\u00f6nnte. Wenn diese Bilder w\u00e4hrend des Bootvorgangs analysiert werden, kann die Sicherheitsl\u00fccke ausgel\u00f6st werden und eine von Angreifern kontrollierte Nutzlast ausgef\u00fchrt werden, um den Ablauf der Ausf\u00fchrung zu \u00fcbernehmen und Sicherheitsfunktionen wie Secure Boot zu umgehen.<\/p>\n
Das bedeutet im Klartext: Ein Angreifer k\u00f6nnte eine Art „Bild-Bombe“ im System platzieren und so b\u00f6sartige Software einschleusen. Das ist nat\u00fcrlich alles andere als lustig, da die Malware dann praktisch unbemerkt im System verweilen kann. Das Ganze hat jedoch keinen Einfluss auf die Laufzeitintegrit\u00e4t des Systems, da keine Modifikation des Bootloaders oder der Firmware erforderlich ist, wie es bei anderen Sicherheitsl\u00fccken der Fall ist. Also zumindest ein kleines Trostpflaster.<\/p>\n
Leider betrifft LogoFAIL viele Hersteller und Chips von verschiedenen Anbietern. Es wurden bereits potenziell Hunderte von gef\u00e4hrdeten Ger\u00e4ten identifiziert, darunter Produkte von Intel, Acer, Lenovo und anderen gro\u00dfen Herstellern, die UEFI-Firmware in ihren Verbraucher- und Unternehmensger\u00e4ten verwenden. Sogar die drei Hauptanbieter von benutzerdefinierter UEFI-Firmware, AMI, Insyde und Phoenix, sind betroffen. Das Ausma\u00df der Auswirkungen ist jedoch noch nicht genau bekannt, da die Forschung noch l\u00e4uft. Es ist jedoch bereits klar, dass viele Ger\u00e4te anf\u00e4llig f\u00fcr diesen neuartigen Angriff sind.<\/p>\n
Die Forscher werden ihre vollst\u00e4ndigen technischen Details zu LogoFAIL im Rahmen der Black Hat Europe Sicherheitskonferenz am 6. Dezember in London pr\u00e4sentieren. Sie haben ihre Ergebnisse bereits mehreren Ger\u00e4teherstellern und den drei Hauptanbietern von UEFI offengelegt. Hoffen wir, dass diese Informationen dazu beitragen, das Problem zu l\u00f6sen und unsere Systeme sicherer zu machen. In der Zwischenzeit sollten wir unsere Ger\u00e4te auf dem neuesten Stand halten und wachsam bleiben. Sicherheit geht schlie\u00dflich vor \u2013 auch wenn es um Logos geht.<\/p>\n
Schlagw\u00f6rter: UEFI code from various vendors + Intel Boot Guard + ESP + Acer + Lenovo<\/p>\n","protected":false},"excerpt":{"rendered":"
Eine Reihe von Sicherheitsl\u00fccken, die als LogoFAIL bekannt sind, haben die Bildanalysekomponenten im UEFI-Code verschiedener Hersteller ins Visier genommen. Klingt nach einer schlechten Action-Kom\u00f6die, ist aber leider die Realit\u00e4t. Diese L\u00fccken k\u00f6nnten ausgenutzt werden, um den Bootvorgang zu \u00fcbernehmen und b\u00f6sartige Bootkits einzuschleusen. Das Problem liegt in den Bildanalysebibliotheken, die...<\/p>\n","protected":false},"author":4,"featured_media":2733,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2734","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2734"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/2734\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/2733"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}