La plupart des appareils Windows et Linux sont actuellement vulnrables une nouvelle attaque de micrologiciel appele LogoFAIL. Cette attaque cible les interfaces de micrologiciels extensibles unifies (UEFI) responsables du dmarrage des appareils modernes fonctionnant sous Windows ou Linux. LogoFAIL exploite des vulnrabilits prsentes depuis des annes dans les analyseurs d’images UEFI, permettant d’excuter du code malveillant au dbut du processus de dmarrage, compromettant ainsi la scurit de la plateforme.
Les chercheurs de Binarly, la socit de scurit qui a dcouvert ces vulnrabilits, ont identifi prs de deux douzaines de failles critiques caches dans les UEFI, affectant une vaste gamme de modles d’ordinateurs provenant de divers fabricants. L’attaque se distingue par sa facilit d’excution, son impact sur les modles grand public et professionnels, ainsi que par son haut niveau de contrle sur les appareils infects. LogoFAIL peut tre excut distance, contournant les mcanismes de dfense traditionnels et compromettant la scurit des plates-formes ds les premires tapes du processus de dmarrage.
LogoFAIL exploite des vulnrabilits dans les UEFI, permettant l’excution de code malveillant au dbut du processus de dmarrage, compromettant ainsi la scurit des plates-formes Windows et Linux. L’attaque peut contourner les dfenses traditionnelles, s’excute distance et affecte une large gamme de modles d’ordinateurs. Les chercheurs ont publi des avis indiquant quels produits sont vulnrables et o trouver des correctifs de scurit.
Comme son nom l’indique, LogoFAIL se concentre sur les logos, en particulier ceux des fournisseurs de matriel, qui s’affichent l’cran au dbut du processus de dmarrage alors que l’UEFI est toujours en cours d’excution. Les analyseurs d’images intgrs aux UEFI des trois principaux IBV prsentent une douzaine de vulnrabilits critiques qui taient jusqu’ prsent passes inaperues. En substituant des images lgitimes de logo par des versions spcialement conues pour exploiter ces failles, LogoFAIL permet l’excution de code malveillant une tape cruciale du dmarrage connue sous le nom de DXE, abrviation de Driver Execution Environment (environnement d’excution du pilote).
Les chercheurs de Binarly, la socit de scurit l’origine de la dcouverte de ces vulnrabilits, ont expliqu dans un livre blanc que ds qu’une excution de code arbitraire est ralise pendant la phase DXE, la scurit de la plateforme est compromise. partir de ce point, un contrle total sur la mmoire, le disque de l’appareil cible, et mme sur le systme d’exploitation qui sera lanc est obtenu.
Suite cela, LogoFAIL peut dlivrer une charge utile de deuxime tape, dposant un excutable sur le disque dur avant mme le dmarrage du systme d’exploitation principal. Une dmonstration de cette exploitation a t prsente travers une vido illustrative ralise par les chercheurs. Les vulnrabilits font l’objet d’une divulgation massive coordonne, publie mercredi, impliquant la participation d’entreprises reprsentant presque l’ensemble de l’cosystme des processeurs x64 et ARM.
Ces entreprises incluent les fournisseurs d’UEFI tels qu’AMI, Insyde et Phoenix, les fabricants d’appareils comme Lenovo, Dell et HP, ainsi que les fabricants de processeurs tels qu’Intel, AMD ou les concepteurs de processeurs ARM. L’annonce de l’attaque a eu lieu mercredi lors de la confrence sur la scurit Black Hat Londres.
Dans un message, le fondateur et PDG de Binarly, Alex Matrosov, a formul ce qui suit : LogoFAIL reprsente un ensemble de vulnrabilits de scurit hautement impactantes, rcemment mises au jour, qui touchent diffrentes bibliothques d’analyse d’images intgres dans le micrologiciel du systme, utilises par divers fournisseurs au cours du processus de dmarrage des appareils.
Ces failles sont gnralement enracines dans le code de rfrence, affectant ainsi l’ensemble de l’cosystme, englobant le code et les fournisseurs d’appareils qui le mettent en uvre. Cette attaque confre un acteur malveillant l’avantage de contourner la plupart des solutions de scurit des points finaux, permettant ainsi le dploiement d’un bootkit firmware dissimul persistant dans une capsule firmware arborant une image de logo modifie.
Lorsque le micrologiciel du systme bas sur l’UEFI est configur pour utiliser correctement des protections comme Intel Boot Guard avec un logo non modifiable, il n’est pas possible d’introduire l’image malveillante dans l’ESP. Dans de nombreux cas, cependant, il est toujours possible d’excuter un outil logiciel disponible gratuitement sur le site web de l’IBV ou du fournisseur de l’appareil qui recharge le microprogramme partir du systme d’exploitation.
Pour passer les contrles de scurit, l’outil installe le mme micrologiciel UEFI signature cryptographique dj utilis, en ne modifiant que l’image du logo, qui ne ncessite pas de signature numrique valide. Dans de nombreux cas, l’outil IBV est sign numriquement, ce qui rduit les risques d’intervention des protections des points d’extrmit.
Dans la prsentation, les chercheurs ont fourni l’image ci-dessus pour illustrer le fonctionnement des attaques LogoFAIL
Dans le document blanc qui accompagne la prsentation, les chercheurs ont expos les tapes d’une attaque LogoFAIL de la manire suivante : Tel que dmontr dans l’image prcdente, une attaque LogoFAIL peut tre dcompose en trois phases distinctes. En premier lieu, l’attaquant prpare une image de logo malveillante qu’il stocke dans l’ESP ou dans une section non signe d’une mise jour du micrologiciel. Ensuite, il redmarre l’appareil.
Au cours du processus de dmarrage, le microprogramme vulnrable charge le logo malveillant partir de l’ESP et l’analyse l’aide d’un analyseur d’images vulnrable. Cela permet l’attaquant de dvier le flux d’excution en exploitant une faille dans l’analyseur lui-mme. En tirant parti de cette menace, l’attaquant peut excuter un code arbitraire pendant la phase DXE, ce qui quivaut compromettre totalement la scurit de la plateforme.
Les vulnrabilits de lUEFI mises en lumire par LogoFAIL
L’existence de LogoFAIL, cette nouvelle attaque de micrologiciel ciblant les interfaces de micrologiciels extensibles unifies (UEFI) sur la plupart des appareils Windows et Linux, soulve des proccupations significatives en matire de scurit informatique. Les vulnrabilits exploites par LogoFAIL, dcouvertes par les chercheurs de Binarly, rvlent une faille importante dans la conception et la mise en uvre des UEFI, compromettant ainsi la scurit des appareils modernes ds le processus de dmarrage.
Le constat selon lequel prs de deux douzaines de failles critiques ont t identifies dans les UEFI, touchant une varit de modles d’ordinateurs provenant de divers fabricants, souligne l’ampleur de la menace. L’impact tendu sur les appareils grand public et professionnels met en lumire la ncessit urgente de remdier ces vulnrabilits pour prserver la scurit des utilisateurs.
La facilit d’excution de LogoFAIL, son potentiel d’infection distance et sa capacit contourner les mcanismes de dfense traditionnels accentuent les risques encourus. Le niveau lev de contrle sur les appareils infects soulve des proccupations quant la persistance et la dtection de cette menace, mme aprs la mise en place de correctifs de scurit.
Il est impratif que les fabricants d’ordinateurs, les dveloppeurs de micrologiciels et les fournisseurs de scurit collaborent rapidement pour laborer des correctifs robustes afin de contrer cette menace. L’ampleur de cette vulnrabilit souligne galement l’importance de renforcer la scurit des processus de dmarrage et de rvaluer les mcanismes de dfense existants pour garantir une protection efficace contre de telles attaques sophistiques.
Source : Binarly
Et vous ?
Quel est votre avis sur le sujet ?
Existe-t-il des limitations ou les conditions spcifiques qui pourraient restreindre l’applicabilit de LogoFAIL certains types d’appareils ou de configurations ?
Existe-t-il des diffrences de vulnrabilit entre les versions spcifiques de Windows et Linux, et quels systmes sont plus susceptibles d’tre compromis ?
Voir aussi :