Una nuova minaccia si è appena affacciata nel campo della sicurezza informatica, focalizzandosi su un attacco che sfrutta vulnerabilità gravi presenti nel firmware UEFI utilizzato da numerosi produttori di PC. Il firmware UEFI è un componente essenziale nei sistemi informatici moderni, essendo responsabile dell’inizializzazione dell’hardware prima del caricamento del sistema operativo. Con questa nuova minaccia, possono essere inseriti rootkit stealthy nelle fasi iniziali del processo di avvio prima che possano intervenire le protezioni dei prodotti di sicurezza endpoint.

L’attacco in questione si chiama LogoFAIL e coinvolge l’inserimento di immagini contraffatte in una partizione speciale sull’unità o in regioni non protette del firmware UEFI. Gli attaccanti sfruttano la personalizzazione del firmware UEFI, in particolare la funzionalità di splash screen, che consente ai produttori di mostrare il proprio logo durante le fasi iniziali di avvio. Questo aspetto è solitamente utilizzato per scopi estetici, ma è diventato un punto di attacco per i cybercriminali.

Secondo i ricercatori di Binarly, l’attacco colpisce centinaia di dispositivi di consumo e aziendali di vari fornitori, tra cui importanti nomi come Intel, Acer e Lenovo. La portata dell’attacco è amplificata dal fatto che tutte e tre le principali aziende di produzione di BIOS (AMI, Insyde e Phoenix) sono coinvolte, a causa di problemi di sicurezza nei loro parser di immagini.

logofail firmware

Il team di ricerca di Binarly ha utilizzato fuzz testing per individuare le vulnerabilità, rilevando ben 29 problemi nei parser di immagini dei firmware Insyde, AMI e Phoenix. Di questi, 15 erano sfruttabili per l’esecuzione di codice arbitrario. Ciò solleva preoccupazioni sulla mancanza di test da parte dei produttori di BIOS e dei produttori di computer, poiché la presenza di numerose vulnerabilità indica una scarsa attenzione alla sicurezza dei parser di immagini.

Sono diverse le modalità attraverso le quali gli attaccanti possono sfruttare queste vulnerabilità. Queste includono la possibilità di iniettare un logo dannoso nella partizione EFI System e l’uso di strumenti forniti dai produttori di BIOS per aggiungere il logo direttamente al firmware. Questi metodi consentono agli attaccanti di bypassare le misure di sicurezza come UEFI Secure Boot e Intel Boot Guard, aprendo la strada all’esecuzione di codice dannoso nelle fasi critiche del processo di avvio.

I ricercatori consigliano agli utenti di verificare la presenza di aggiornamenti firmware sui siti web dei produttori e di applicarli tempestivamente. “Stimiamo che LogoFAIL abbia un impatto su quasi tutti i dispositivi alimentati da questi fornitori, in un modo o nell’altro”, hanno scritto i ricercatori. “Inoltre, non si tratta di vulnerabilità limitate a un hardware specifico ma possono essere sfruttate con successo su dispositivi basati su x86 o ARM”. Le vulnerabilità sono identificate come CVE-2023-5058 per il firmware Phoenix, CVE-2023-39538 e CVE-2023-39539 per AMI e CVE-2023-40238 per Insyde. Lenovo, uno dei fornitori di PC interessati, ha rilasciato un proprio avviso di sicurezza con un elenco dei modelli interessati e degli aggiornamenti disponibili finora.