Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

UEFI-Schwachstelle LogoFAIL: Secure Boot mit manipulierten Bootlogos umgehbar

Sicherheitsforscher habe Schwachstellen beim Verarbeiten von Bootlogos auf BIOS/UEFI-Ebene entdeckt. Angreifer können Systeme kompromittieren.

In Pocket speichern vorlesen Druckansicht 100 Kommentare lesen
Hacker,Artificial,Intelligence,Robot,Danger,Dark,Face.,Cyborg,Binary,Code

(Bild: LuckyStep/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Bei der Analyse von UEFI-Firmwares sind Sicherheitsforscher von Binarly auf veraltete und somit verwundbare Parser für verschiedene Bilddateiformate gestoßen. Ihnen zufolge können Angreifer mithilfe präparierter Bootlogos Sicherheitsmechanismen wie Secure Boot umgehen.

Die Schwachstellen haben sie LogoFAIL getauft und erste Informationen in einem Bericht zusammengetragen. Weiterführende Details wollen sie auf der Konferenz Black Hat Europe am 6. Dezember 2023 veröffentlichen.

Der Ansatzpunkt für Angriffe sind Sicherheitslücken in Parsern von UEFI-Firmwares für unter anderem JPEG- und TGA-Bilddateien. Offensichtlich aktualisieren die Entwickler der Firmwares die Parser nicht regelmäßig, sodass Schwachstellen nicht geschlossen werden. Den Forschern zufolge finden sich die Lücken im Independent BIOS Vendor (IBV) Referenzcode.

Davon sollen die BIOS-UEFI-Anbieter AMI, Insyde und Phoenix betroffen sein. Die Forscher gehen davon aus, dass dementsprechend unzählige PCs potenziell darüber angreifbar sind. In ihren Versuchen haben sie eigenen Angaben zufolge PC-Modelle von unter anderem Acer und Lenovo erfolgreich attackiert. Die Schwachstellen betreffen die ARM- und x86-Architektur.

Attacken sollen aber nicht ohne Weiteres möglich sein. Als Einstiegspunkt müssen Angreifer auf einem nicht näher beschriebenen Weg ein mit Schadcode präpariertes Logo entweder in der EFI System Partition (ESP) oder in einem unsignierten Teil eines Firmwareupdates verankern. Ist das gegeben, kommt es bei der Verarbeitung des präparierten Logos im Zuge des Bootvorgangs zu Fehlern und Angreifer können über eine Payload Sicherheitsmechanismen wie Secure Boot oder Intel Boot Guard umgehen.

Anders als beispielsweise beim UEFI-Bootkit BlackLotus sollen LogoFAIL-Attacken nicht den Bootloader oder Firmwarekomponenten manipulieren, sodass die Laufzeitintegrität nicht beeinträchtigt sei.

Systeme vollständig kompromittierbar

Solche Attacken sind besonders gefährlich, da sich Angreifer so bereits vor dem Start des Betriebssystems persistent auf PCs einnisten können. In so einem Fall laufen Sicherheitsscans vom System ins Leere.

Die BIOS-/UEFI-Anbieter sollen bereits Bescheid wissen. Wie es um Sicherheitsupdates bestellt ist, ist derzeit nicht bekannt.

(des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten