Publié le: 08/12/2023 @ 15:05:17: Par Nic007 Dans "Sécurité"
Nos ordinateurs sont à nouveau en danger, et cette fois une simple image, comme un logo, suffirait à vaincre les systèmes de contrôle et de sécurité . La pire nouvelle ? Qui est exécuté dans le BIOS et pour cette raison l'antivirus ou même la réinstallation du système d'exploitation ne servent à rien : voici la vulnérabilité LogoFAIL. Voyons comment cela fonctionne et comment nous défendre. Découvert par des chercheurs en cybersécurité de Binarly, qui ont présenté leurs recherches lors de la conférence Blackhat Europe sur les hackers éthiques, LogoFAIL contient un certain nombre de vulnérabilités de sécurité affectant plusieurs bibliothèques d'analyse d'images utilisées dans le micrologiciel du système par divers fabricants pendant le processus de démarrage de l'appareil. En pratique, un attaquant peut exploiter un simple fichier image tel qu'un logo (d'où le nom de la vulnérabilité) au format PNG ou BMP pour insérer du code malveillant lors du démarrage de l'ordinateur. Et prenez-en le contrôle au niveau du système. Mais comment y arrivent-ils ? Selon les chercheurs, directement depuis la partition système EFI (ESP) ou dans des sections non signées d'une mise à jour du firmware . Lorsque ces images sont analysées lors du démarrage, la vulnérabilité peut être déclenchée et une charge utile contrôlée par un attaquant peut être arbitrairement exécutée pour détourner le flux d'exécution. À ce stade, les chercheurs ont démontré qu'il peut contourner les fonctionnalités de sécurité telles que Secure Boot , y compris les mécanismes de démarrage vérifiés basés sur le matériel (tels que Intel Boot Guard, AMD Hardware-Validated Boot ou Secure Boot basé sur ARM TrustZone).
Voici les vulnérabilités découvertes :
- CVE-2023-40238 : affecte BmpDecoderDxe dans Insyde InsydeH2O pour certains appareils Lenovo. Causé en raison d'une erreur de signature complète liée à PixelHeight et PixelWidth dans la compression RLE4/RLE8.
- CVE-2023-39539 : affecte AMI AptioV et entraîne une vulnérabilité dans le BIOS, où un utilisateur peut provoquer le chargement sans restriction d'un fichier de logo PNG avec un type malveillant via un accès local.
- CVE-2023-39538 : Semblable à CVE-2023-39539, cette vulnérabilité se retrouve également dans le BIOS d'AMI AptioV. Permet à un utilisateur de provoquer le chargement sans restriction d'un fichier de logo BMP avec un type malveillant à partir d'un accès local.
LogoFAIL est particulièrement dangereux car il réside dans le BIOS, il survit donc à une réinstallation du système d'exploitation et contourne la plupart des défenses puisque celles-ci ont tendance à exécuter et à surveiller les fonctionnalités du système d'exploitation et non le code du BIOS et de l'UEFI . L’une des découvertes les plus importantes est que LogoFAIL n’est pas spécifique au type de processeur et peut avoir un impact sur les appareils x86 et ARM. Au lieu de cela, LogoFAIL est spécifique à l'UEFI et à l'IBV ( fournisseur indépendant de BIOS ) en raison des spécifications des analyseurs d'images vulnérables utilisés. Cela signifie que cela n’affecte pas un seul fournisseur mais l’ensemble de l’écosystème, et les trois principaux IBV sont concernés : AMI, Insyde et Phoenix.
Les chercheurs de Binarly se sont déclarés choqués par leurs découvertes et par la facilité avec laquelle les technologies de sécurité peuvent être contournées lors du démarrage, et par la manière dont ces vulnérabilités peuvent ouvrir la porte à des attaquants potentiels. Dans l'ensemble, LogoFAIL doit être considéré comme beaucoup plus dangereux que le récent bootkit BlackLotus , dont il diffère car il ne modifie pas le chargeur de démarrage et intervient après que tous les contrôles d'intégrité ont été effectués. Mais quels ordinateurs sont concernés ? Pour le moment, il n'existe pas de liste complète, mais il existe certainement des centaines de modèles , dont Lenovo, Acer et Intel.
Ce qu'il faut faire? Puisqu'il n'existe pas encore de liste des ordinateurs concernés, vous devez consulter le site Web de votre fabricant pour voir si des mises à jour ou des informations ont été publiées. Plusieurs fabricants ont émis des avertissements, comme AMI, Insyde et Lenovo , et si une mise à jour a été publiée, vous devez mettre à jour le BIOS, ce que malheureusement tout le monde ne fait pas ou ne sait pas faire. Binarly n'a pas défini d'exemples précis de la manière dont cette vulnérabilité peut être exploitée (et si elle a déjà été activement exploitée), mais les règles générales de protection de votre ordinateur devraient minimiser le risque d'infection. Dans tous les cas, gardez à l’esprit que si votre ordinateur se comporte étrangement et que vous pensez qu’il est infecté par un malware mais que la réinstallation du système ne résout pas le problème, il peut être victime de cet exploit.
Voici les vulnérabilités découvertes :
- CVE-2023-40238 : affecte BmpDecoderDxe dans Insyde InsydeH2O pour certains appareils Lenovo. Causé en raison d'une erreur de signature complète liée à PixelHeight et PixelWidth dans la compression RLE4/RLE8.
- CVE-2023-39539 : affecte AMI AptioV et entraîne une vulnérabilité dans le BIOS, où un utilisateur peut provoquer le chargement sans restriction d'un fichier de logo PNG avec un type malveillant via un accès local.
- CVE-2023-39538 : Semblable à CVE-2023-39539, cette vulnérabilité se retrouve également dans le BIOS d'AMI AptioV. Permet à un utilisateur de provoquer le chargement sans restriction d'un fichier de logo BMP avec un type malveillant à partir d'un accès local.
LogoFAIL est particulièrement dangereux car il réside dans le BIOS, il survit donc à une réinstallation du système d'exploitation et contourne la plupart des défenses puisque celles-ci ont tendance à exécuter et à surveiller les fonctionnalités du système d'exploitation et non le code du BIOS et de l'UEFI . L’une des découvertes les plus importantes est que LogoFAIL n’est pas spécifique au type de processeur et peut avoir un impact sur les appareils x86 et ARM. Au lieu de cela, LogoFAIL est spécifique à l'UEFI et à l'IBV ( fournisseur indépendant de BIOS ) en raison des spécifications des analyseurs d'images vulnérables utilisés. Cela signifie que cela n’affecte pas un seul fournisseur mais l’ensemble de l’écosystème, et les trois principaux IBV sont concernés : AMI, Insyde et Phoenix.
Les chercheurs de Binarly se sont déclarés choqués par leurs découvertes et par la facilité avec laquelle les technologies de sécurité peuvent être contournées lors du démarrage, et par la manière dont ces vulnérabilités peuvent ouvrir la porte à des attaquants potentiels. Dans l'ensemble, LogoFAIL doit être considéré comme beaucoup plus dangereux que le récent bootkit BlackLotus , dont il diffère car il ne modifie pas le chargeur de démarrage et intervient après que tous les contrôles d'intégrité ont été effectués. Mais quels ordinateurs sont concernés ? Pour le moment, il n'existe pas de liste complète, mais il existe certainement des centaines de modèles , dont Lenovo, Acer et Intel.
Ce qu'il faut faire? Puisqu'il n'existe pas encore de liste des ordinateurs concernés, vous devez consulter le site Web de votre fabricant pour voir si des mises à jour ou des informations ont été publiées. Plusieurs fabricants ont émis des avertissements, comme AMI, Insyde et Lenovo , et si une mise à jour a été publiée, vous devez mettre à jour le BIOS, ce que malheureusement tout le monde ne fait pas ou ne sait pas faire. Binarly n'a pas défini d'exemples précis de la manière dont cette vulnérabilité peut être exploitée (et si elle a déjà été activement exploitée), mais les règles générales de protection de votre ordinateur devraient minimiser le risque d'infection. Dans tous les cas, gardez à l’esprit que si votre ordinateur se comporte étrangement et que vous pensez qu’il est infecté par un malware mais que la réinstallation du système ne résout pas le problème, il peut être victime de cet exploit.
Liens
Lien (86 Clics)
Envoyer une nouvelle à un ami