Neu entdeckte Schwachstellen in den Bild-Parsern der UEFI-Implementation fast aller unabhängigen BIOS-Anbieter (IBVs) wie Insyde, AMI oder Phoenix ermöglichen Angriffe auf fast alle Rechner der Plattformen Intel, AMD oder ARM, auf denen Windows oder Linux läuft. Entdeckt wurde die Lücke vom BinarlyResearch Team.
Patches in Arbeit
Patches für die Lücken, die vom Entdecker als LogoFAIL bezeichnet werden, sind in Arbeit, werden aber eine Weile Zeit benötigen, bis sie beim Endanwender ankommen. Eine genaue Liste der betroffenen Geräte steht bisher nicht zur Verfügung. Rechner von Apple sind nicht betroffen, da sie beim Booten keine Add-On-Images zulassen. Rechner von Dell sind ebenfalls außen vor.
Bild-Parser ausgenutzt
Der LogoFAIL-Exploit umgeht Sicherheitsmaßnahmen bei Hard- und Software, indem er früh im Bootprozess das Startlogo im UEFI-Code austauscht, das erscheint, wenn das System nach erfolgreichem POST hochfährt. Der Angriff findet während der auf den POST folgenden Phase Driver Execution Environment (DXE) statt. Der Exploit ist nur schwer zu entdecken und genauso schwer zu entfernen. Da er auf den Speichermedien keinen Code hinterlässt, übersteht er auch die Neuinstallation des Betriebssystems.
Der Angreifer benötigt Zugang über ein Root-Terminal, um die vorhandene Bilddatei zu überschreiben. Wenn das gelingt, können anschließend Bootkits mit schädlichen Payloads platziert werden. Vertiefte Informationen über diese Lücken in UEFI-Firmware-Implementierungen finden sich in der Analyse von Binarly. Ein YouTube Video demonstriert den Exploit.