Vulnerabilidade do tipo LogoFAIL
Computadores que executam Windows ou Linux são vulneráveis a um novo tipo de ataque de firmware chamado LogoFAIL, de acordo com um relatório da Ars Técnica. Este ataque provou ser extremamente eficaz porque reescreve o logotipo que normalmente aparece quando o sistema é inicializado após um POST bem-sucedido (daí o nome “LogoFAIL”), que é cedo o suficiente para contornar as medidas de segurança projetadas para evitar ataques de bootkit. O problema afeta todas as placas-mãe que usam UEFI fornecidas por fornecedores independentes de BIOS (IBVs). IBVs como AMI, Insyde e Phoenix precisarão lançar patches UEFI para empresas de placas-mãe. Devido à forma como o LogoFAIL substitui o logotipo de inicialização no UEFI, a exploração pode ser executada em qualquer plataforma usando Intel, AMD ou ARM executando qualquer sistema operacional Windows ou kernel Linux. Funciona devido à forma como o logotipo de inicialização regravável é executado quando o sistema é ligado. Afeta sistemas DIY e pré-construídos, com certas funções mantidas abertas por padrão.
Modo de ataque
A exploração foi descoberta por pesquisadores da Binarly, que publicaram suas descobertas. O ataque ocorre quando a fase ‘Driver Execution Environment’ (DXE) está em andamento após um POST bem-sucedido. O DXE é responsável por carregar os serviços de inicialização e tempo de execução, iniciando a CPU, o chipset e outros componentes na sequência correta para que o processo de inicialização continue. LogoFAIL substitui o logotipo de inicialização UEFI pelo exploit, que é carregado durante a fase DXE.
Os pesquisadores demonstraram sua execução e exploração em um Lenovo ThinkCentre M70s baseado em CPU Intel de 11ª geração com Intel Secure Boot e Boot Guard habilitados e a última atualização UEFI disponível de junho. (Crédito da imagem: Binarmente)
Macs e alguns PCs pré-construídos são seguros
Muitos OEMs, como a Dell, não permitem que seus logotipos sejam alterados na UEFI — e seus arquivos de imagem são protegidos pelo Image Boot Guard; esses sistemas são, portanto, imunes a essa exploração. Os Macs, cujo hardware e software são desenvolvidos internamente pela Apple, possuem imagens de logotipo codificadas no UEFI e são protegidos de forma semelhante. Este também é o caso de Macs rodando em CPUs Intel (imagens de logotipo codificadas) e, portanto, esses Macs também são seguros.
Se o seu integrador de sistema não permitir a reescrita de imagens de inicialização em seu BIOS, você estará bem. Mas para todos os outros, esta é uma exploração que precisa ser corrigida tanto pelos fabricantes de placas-mãe quanto pelos OEMs, já que a pesquisa mostra que ambos são vulneráveis. A única maneira de proteger a análise de imagem no UEFI do seu sistema é instalando um novo patch de segurança UEFI, que você precisará obter do fabricante da placa-mãe ou OEM (que o obterá do IBV). AMI, Dentroe Lenovoentre outros, publicaram avisos, mas não há uma lista completa das empresas afetadas – para ver se o seu sistema está vulnerável, você precisará verificar com o fabricante OEM/placa-mãe.