LogoFAIL : une vulnérabilité de sécurité menace des millions d'utilisateurs de PC
-
La vulnérabilité LogoFAIL affecte les bibliothèques d’analyse d’images responsables de l’affichage des logos pendant le processus de démarrage.
Un élément apparemment inoffensif lors du démarrage des PC devient une menace pour la sécurité. Les experts ont découvert plusieurs vulnérabilités critiques dans les composants d’analyse d’images du micrologiciel UEFI sous le nom de LogoFAIL. Ceux-ci affectent à la fois les PC x86 et ARM et peuvent entraîner des risques de sécurité importants.
Ces vulnérabilités permettent aux attaquants de manipuler le processus de démarrage et d’installer des bootkits. Une fois que cela s’est produit, l’intrus a carte blanche sur les systèmes concernés.
La recherche a commencé par un projet sur les surfaces d’attaque pour les composants d’analyse d’images dans le code du micrologiciel UEFI existant. Il a été découvert qu’un attaquant peut stocker des images ou des logos malveillants dans des sections non signées d’une mise à jour du micrologiciel. Si les pirates devaient analyser la vulnérabilité pendant le processus de démarrage, ils pourraient utiliser LogoFAIL pour exécuter une charge utile contrôlée afin de contourner les fonctionnalités de sécurité telles que Secure Boot.
Abuser des analyseurs d’images pour attaquer l’UEFI (Unified Extensible Firmware Interface) n’est pas une idée nouvelle. En 2009, des chercheurs en sécurité ont montré comment les vulnérabilités de l’analyseur d’images BMP pouvaient être exploitées. Cependant, LogoFAIL établit une nouvelle norme non seulement en compromettant l’intégrité d’exécution, mais en étant également difficile à détecter. WinFuture le rapporte dans un article récent .
Contrairement aux attaques précédentes qui nécessitaient une modification du chargeur de démarrage ou du micrologiciel, le malware LogoFAIL passe pratiquement inaperçu. Les vulnérabilités affectent les fournisseurs et les puces de divers fabricants et se produisent dans les produits des principaux fabricants d’appareils qui utilisent le micrologiciel UEFI dans les appareils grand public et d’entreprise.
Les fabricants doivent accorder une plus grande attention à la sécurité pendant le processus de fabrication
Les experts en sécurité présenteront les détails de LogoFAIL le 6 décembre au Black Hat Europe à Londres . D’ici là, les experts recommandent d’être conscient des vulnérabilités et de renforcer les mesures de sécurité .
LogoFAIL montre une fois de plus combien il est important d’intégrer la sécurité dès le début dans le processus de développement et de vérifier régulièrement les éventuelles vulnérabilités.
Ou en français: https://www.lemondeinformatique.fr/actualites/lire-la-faille-uefi-logofail-empoisonne-les-terminaux-x86-et-arm-92327.html
Pour l’heure, le nom des fabricants et le nombre des systèmes dont la faille LogoFAIL est potentiellement exploitable n’ont pas été précisés. Mais contrairement au bootkit BlackLotus, Binarly précise que LogoFAIL ne rompt pas l’intégrité de l’exécution en modifiant le chargeur d’amorçage ou le composant du micrologiciel. « Les vulnérabilités comprennent un débordement de mémoire tampon et une lecture hors limite, dont les détails devraient être rendus publics dans le courant de la semaine lors de la conférence Black Hat Europe. Plus précisément, ces vulnérabilités sont déclenchées lorsque les images injectées sont analysées, ce qui entraîne l’exécution de charges utiles susceptibles de détourner le flux et de contourner les mécanismes de sécurité », prévient Binarly.
-
Article très détaillé sur le processus impliqué: https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/
-
Si j’ai bien compris la chose (ou pas
) il faut que l’ISO de l’OS soit modifiée pour que cette attaque fonctionne, ou c’est injectable sur un système déjà installé? -
@michmich Je ne me suis pas cassé le cul à faire l’analyse de la chose vu qu’en tant qu’utilisateur, la seule chose que l’on peut faire c’est de ne pas modifier l’image de boot et d’avoir de saines habitudes, comme pour toutes les autres saletés.
Tout le reste dépend d’une hypothétique mise à jour du bios et du système d’exploitation et de ne pas exécuter n’importe quoi sur le pc.
À vue de nez, le bac à sable de windows est probablement aussi victime de ce truc-là, peut-être qu’une machine virtuelle pourrait échapper à ça, mais j’en suis même pas sûr.
-
-
@michmich Ma boule de cristal me dit que tu es déjà contaminé, mais elle ne me dit pas par quoi…
