LogoFAIL, una vulnerabilità di sicurezza che sia annida in UEFI e mette in pericolo Linux e Windows
Nuove e mirabolanti superfici d’attacco senza barriere di sistema operativo o architettura… Se ne sentiva la mancanza vero? Ecco a voi LogoFAIL, un attacco che sfrutta l’immagine che appare solitamente in fase di boot dei dispositivi (laptop o desktop non fa differenza) per eseguire codice nel momento peggiore: ossia quando non c’è alcuna protezione poiché di fatto ancora nulla è stato caricato a livello di sistema operativo.
La modalità in cui la vulnerabilità viene sfruttata è mediante UEFI e, cosa ancora più “interessante” per così dire, probabilmente è in giro proprio da quando esiste UEFI, ecco perché nel tweet che segue, il ricercatore di BINARLY (l’azienda che ha scoperto il problema) ne parla in maniera piuttosto allarmante:
Non a caso BINARLY produce una piattaforma per la gestione della produzione dei firmware, ed è proprio a quel livello che bisogna agire per sistemare le cose.
Come racconta ZDNet l’attacco sfrutta i parser di immagini UEFI (quindi appunto i loghi che vengono visualizzati al boot) e fa riferimento a questi programmi che eseguono il rendering dei loghi dell’immagine di avvio, essendo incorporati in UEFI dai principali fornitori di BIOS indipendenti (IBV), come AMI, Insyde e Phoenix.
Il team di Binarly ha individuato 29 problemi di sicurezza, 15 dei quali sfruttabili per l’esecuzione di codice arbitrario. Quindi chi attacca rimpiazza le immagini con delle altre identiche che però portano con sé anche il codice che sfrutta le vulnerabilità rilevate nei parser e da lì in poi l’attacco si evolve, muovendosi in quello che è lo spazio prima dell’avvio del sistema operativo, che si chiama Driver Execution Environment (DXE).
Perché è così pericoloso? Lo spiegano direttamente i ricercatori: una volta che c’è il controllo totale della memoria e del disco del device infetto (e questo avviene a prescindere dal sistema operativo) tutta la piattaforma diventa insicura. Pensate solo se venisse sostituito un eseguibile nel disco prima che il sistema operativo venga avviato… Praticamente il paradiso dei rootkit.
Se qualcuno se lo sta chiedendo, chiaramente per tutelarsi le vie sono sempre le solite: evitare di installare programmi da fonti insicure ed aggiornare quanto prima il proprio firmware, a cui tutti i maggiori produttori stanno già lavorando o hanno già reso disponibile, vedi AMI, Intel, Insyde, Phoenix e Lenovo.
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.