LogoFAIL ist ein kürzlich entdeckter Firmware-Angriff, der Hunderte von Windows- und Linux-Computermodellen von verschiedensten Hardwareherstellern betrifft. Der Angriff ist in der Lage, bösartige Firmware früh im Bootvorgang auszuführen, was eine Kontrolle über das System ermöglicht, die mit aktuellen Abwehrmechanismen schwer zu erkennen und zu entfernen ist. Die Verwundbarkeiten, eine Konstellation von zwei Dutzend neu entdeckten Schwachstellen, waren in Unified Extensible Firmware Interfaces (UEFIs) vorhanden, die für das Booten von modernen Geräten mit Windows oder Linux verantwortlich sind.
Wichtige Punkte zu LogoFAIL:
- Umfang der Verwundbarkeit:
- Praktisch alle Windows- und Linux-Geräte sind gefährdet.
- Der Angriff betrifft eine Vielzahl von Consumer- und Enterprise-Modellen von großen Hardwareherstellern.
- Ausführung und Kontrolle:
- LogoFAIL ermöglicht die Ausführung von bösartigem Code während der Driver Execution Environment (DXE)-Phase und erlangt somit volle Kontrolle über den Speicher und die Festplatte des Geräts.
- Der Angriff kann nach einem Exploit remote ausgeführt werden, was die Erkennung durch herkömmliche Endpoint-Sicherheitsprodukte erschwert.
- Exploitation-Methode:
- LogoFAIL nutzt Schwachstellen in Bildparsern innerhalb von UEFIs aus.
- Angreifer können legitime Logo-Bilder durch speziell angefertigte ersetzen und so die Ausführung von bösartigem Code während des Bootvorgangs ermöglichen.
- Umgehung von Sicherheitsvorkehrungen:
- Der Angriff umgeht branchenweite Schutzmaßnahmen wie Secure Boot und ähnliche Mechanismen, die Bootkit-Infektionen verhindern sollen.
- Angriffstechniken:
- Remote-Angriffe nutzen Schwachstellen in Browsern, Media-Playern oder anderen Anwendungen aus, um legitime Logo-Bilder zu ersetzen.
- Bei physischem Zugriff auf ein gefährdetes Gerät kann das Ersetzen legitimer Bilddateien durch bösartige erfolgen.
- Auswirkungen auf die Sicherheit:
- LogoFAIL gefährdet die Plattformsicherheit und ermöglicht die Installation von sogenannten Stealth-Firmware-Bootkits, die auch nach der Neuinstallation des Betriebssystems oder dem Austausch der Festplatte bestehen bleiben.
- Es ist kein physischer Zugriff auf das Gerät erforderlich, was die Sicherheitsgrenzen zwischen dem Betriebssystem und der Firmware durchbricht.
- Herausforderungen bei der Erkennung:
- Es werden Techniken für "dateilose" Malware verwendet, was die Erkennung durch Antiviren- und Endpunktschutzsoftware erschwert.
- Der Angriff bleibt auch nach einer Neuinstallation des Betriebssystems vorhanden und schwer zu erkennen.
- Präventivmaßnahmen:
- Die beste Prävention besteht darin, die als Teil eines koordinierten Offenlegungsprozesses veröffentlichten UEFI-Sicherheitsupdates zu installieren.
- Es wird empfohlen, UEFIs mit mehreren Abwehrschichten zu konfigurieren, einschließlich Secure Boot und hardwarebasierten Mechanismen wie Intel Boot Guard.
- Ursprung und Entdeckung:
- LogoFAIL ist das Ergebnis von fast einem Jahr Arbeit von Binarly, einem Unternehmen, das sich auf die Identifizierung und Sicherung verwundbarer Firmware spezialisiert hat.
- Die Verwundbarkeiten wurden auf der Black Hat Security Conference in London bekannt gegeben.
- Historischer Kontext:
- LogoFAIL baut auf einer Geschichte von Firmware-Exploits auf und zeigt die fortlaufenden Herausforderungen bei der Sicherung von UEFIs.
- Frühere Fälle von UEFI-Malware wie LoJax und MosaicRegressor wurden in freier Wildbahn entdeckt.
- Patch-Verfügbarkeit:
- Die koordinierte Offenlegung beinhaltet UEFI-Lieferanten, Gerätehersteller und CPU-Hersteller, die Warnhinweise und Sicherheitspatches für gefährdete Produkte veröffentlichen.
- Benutzer werden aufgefordert, bei Herstellern nach Warnhinweisen zu suchen und Sicherheitsupdates zeitnah anzuwenden, um das Risiko einer Ausnutzung zu minimieren.
Zusammenfassend stellt LogoFAIL eine bedeutende Firmware-Verwundbarkeit mit dem Potenzial für weitreichende Auswirkungen auf die Sicherheit von Windows- und Linux-Geräten dar. Benutzern wird empfohlen, sich über Warnhinweise von Herstellern zu informieren und Sicherheitspatches zeitnah anzuwenden, um das Risiko einer Ausnutzung zu minimieren.
Quelle:
https://binarly.io/posts/finding_logofail_the_dangers_of_image_parsing_during_system_boot/
Bild:
https://vocal.media/journal/most-hilarious-corporate-logo-fails
Unter 7. steht: "Der Angriff bleibt auch nach einer Neuinstallation des Betriebssystems undenkbar." Undenkbar?
Ja, sorry. Das sollte eigentlich undektierbar heißen und die Rechtschreibprüfung hat noch mehr Mist daraus gemacht. Ich habe es umformuliert. Dankeschön!
Das Logo ist geil.
Immer wenn ich in Deutschland auf der A2 an der Ausfahrt "Bielefeld-Süd" vorbeikomme muss ich grinsen. Denn dort steht das riesige Firmenlogo der Firma "Budde Fördertechnik GmbH". Du musst mal danach googeln. 😄
Da geht gleich das Kopfkino los, oder?
Ist UEFI-Hardware die zum Booten von Linux/Windows den "Legacy BIOS mode" nutzt ebenfalls gefährdet? Nein, oder?
In der Theorie nicht, denke ich. Aber dafür gebe ich keine Gewähr.
Wird/muss das ein Firmware Update des Board Herstellers werden oder kommt das über das Paket System der Distributionen?
Und schon wieder ein Grund gegen UEFI. Bastel zeugs 🤪
Die Historie von UEFI ist interessant. Also woher die Entwicklung kommt! Und plötzlich wundert man sich nicht mehr über die Schwachstelle. 🤔 Werde zukünftig bei neuen Mainboards darauf achten, dass das BIOS auch MBR bzw. Legaca Boot beherrscht.
Leagacy war doch der Joker und wurde dann verwandt, wenn Linux kein UEFI konnte, oder? Secure Boot war doch die Geburt für UEFI (oder anders herum). Wenn die Installation nun für UEFI ist, dann kann ich nicht mehr nach Leagacy umstellen, richtig? Dabei habe ich erst frisch installiert und irgendwo war noch ein Haken bei der Sache.