Baptisée LogoFAIL par les chercheurs en sécurité de Binarly, cet ensemble de vulnérabilités dans l'UEFI affecte le matériel de pratiquement tous les fabricants où une puce x86 ou ARM est utilisée. L'exploitation de LogoFAIL permet le déploiement d'un bootkit via la bibliothèque d'images du firmware. Faisons le point sur cette menace potentielle.

À l'occasion de la conférence BlackHat Europe 2023 qui s'est déroulée à Londres, les chercheurs en sécurité de Binarly ont levé le voile sur LogoFAIL, une technique d'attaque qui repose sur un ensemble de vulnérabilités présentes dans les bibliothèques d'analyse d'images utilisées par les fournisseurs pour afficher les logos pendant le processus de démarrage de la machine. De ce fait, des centaines de modèles d'ordinateurs, aussi bien sous Windows que Linux, sont vulnérables à cette technique d'attaque qui affecte, une nouvelle fois, l'UEFI.

Cette attaque consiste à déployer un bootkit, un logiciel malveillant qui affecte le processus de démarrage de la machine et qui est difficile à détecter et à éliminer. D'ailleurs, en début d'année 2023, le bootkit BlackLotus avait fait parler de lui, car il parvenait à outrepasser le Secure Boot de Windows. Si l'on prend l'exemple de LogoFAIL, la technique permet de rendre inefficaces des mécanismes de protection comme l'Intel Boot Guard.

Comment exploiter LogoFAIL ?

Pour exploiter l'ensemble de vulnérabilités LogoFAIL, il est nécessaire d'altérer le contenu de la bibliothèque d'images du firmware. Autrement dit, l'attaquant doit disposer d'une image de logo malveillante qui va remplacer l'image officielle chargée au démarrage de votre ordinateur, que ce soit le logo Samsung, le logo HP, le logo Acer ou encore celui de Dell.

Cette image spécialement conçue aura pour objectif de déployer la charge utile sur la machine ciblée. Ceci permettra à l'attaquant d'exécuter du code malveillant sur la machine, car il a un accès total au disque et à la mémoire de l'ordinateur (y compris sur le système d'exploitation en ligne).

L'attaque peut être déployée grâce à un accès physique à la machine, mais également à distance dans un scénario de post-exploitation, après la compromission initiale de la machine.

Désormais, les fabricants ont connaissance des vulnérabilités mises en évidence par LogoFAIL et ils vont déployer des mises à jour de sécurité pour le firmware des ordinateurs. Vous savez ce qu'il vous reste à faire....

Retrouvez les slides de la présentation de la conférence BlackHat Europe 2023 sur cette page. Voici également une vidéo de démonstration :

Source

The post LogoFAIL : un simple logo peut infecter l’UEFI de votre machine Windows ou Linux first appeared on IT-Connect.