O que você precisa saber
- Pesquisadores de segurança cibernética descobriram binarmente uma vulnerabilidade chamada LogoFAIL.
- Recentemente, eles divulgaram suas descobertas na BlackHat Europe.
- LogoFAIL aproveita vulnerabilidades no código de referência UEFI.
- Verifique se há atualizações de segurança UEFI do fabricante do seu dispositivo ou placa-mãe.
Uma das vulnerabilidades mais difundidas na memória recente foi tornada pública esta semana pela Binarly na BlackHat Europe, uma conferência para hackers “éticos”. LogoFAIL afeta potencialmente milhões de endpoints e centenas de modelos de dispositivos. “Todos os três principais IBVs foram afetados – AMI, Insyde e Phoenix devido a vários problemas de segurança relacionados aos analisadores de imagens que eles enviam como parte de seu firmware”
O que é logotipoFAIL
LogoFAIL é um “conjunto de vulnerabilidades de segurança que afetam diferentes bibliotecas de análise de imagens usadas no firmware do sistema por vários fornecedores durante o processo de inicialização do dispositivo”. Ele afeta dispositivos colocando código malicioso dentro de um arquivo de imagem que é analisado durante a inicialização, levando à persistência. Se você quiser ler uma cobertura mais aprofundada da pesquisa LogoFAIL, confira Site da Binarly.
Existem várias vulnerabilidades que foram identificadas pela Binarly. Todos eles fazem parte do LogoFAIL e mostram que um arquivo de logotipo PNG e BMP pode ser utilizado para acionar esta vulnerabilidade nos dispositivos afetados.
- CVE-2023-40238: afeta BmpDecoderDxe no Insyde InsydeH2O para determinados dispositivos Lenovo. Causado devido a um erro de assinatura de número inteiro relacionado a PixelHeight e PixelWidth na compactação RLE4/RLE8.
- CVE-2023-39539: afeta o AMI AptioV e envolve uma vulnerabilidade no BIOS, onde um usuário pode causar um upload irrestrito de um png Arquivo de logotipo com tipo perigoso através de acesso local.
- CVE-2023-39538: Semelhante ao CVE-2023-39539, esta vulnerabilidade também é encontrada no BIOS do AMI AptioV. Ele permite que um usuário faça um upload irrestrito de um Veículo de combate de infantaria Arquivo de logotipo com tipo perigoso por acesso local.
LogoFAIL é excepcionalmente persistente porque vive e é executado no BIOS. Ele sobrevive à reinstalação do sistema operacional e ignora a maioria das defesas, pois as defesas tendem a executar e monitorar a função do sistema operacional e não o código BIOS e UEFI. Binarmente postou uma visão geral do LogoFAIL o que mostra uma prova de conceito.
Quebra: revela binarmente vulnerabilidades generalizadas em componentes de análise de imagem de firmware UEFI. Os principais fabricantes de dispositivos x86 e ARM estão em risco. Detalhes de nossa pesquisa #LogoFAIL em #BHEU2023: https://t.co/FULmxfOa7Q pic.twitter.com/soqH9iys1M6 de dezembro de 2023
Como se proteger do LogoFAIL?
Devido à disseminação do problema com o LogoFAIL, não existe uma lista definitiva de dispositivos afetados. O melhor método para verificar se o seu dispositivo foi afetado é entrar em contato com o fabricante do seu dispositivo ou placa-mãe, para primeiro verificar se o seu dispositivo foi afetado por esta vulnerabilidade e, em segundo lugar, ver se o fabricante possui atualizações de segurança para corrigir a causa raiz no primeiro lugar. Vários fabricantes emitiram avisos, como AMI, Dentroe Lenovo.
Esteja atento na proteção do seu dispositivo. Confira nosso artigo Melhores maneiras de proteger seu PC com Windows 11 e estude as práticas recomendadas de segurança cibernética. A boa notícia aqui é que, pelo menos pelo que podemos dizer, isso foi descoberto e relatado pelos mocinhos. Esperançosamente, isso dará aos fabricantes tempo suficiente para corrigir e resolver esse problema antes que ele possa ser usado em massa por invasores e agentes mal-intencionados. A triste verdade é que o patch para isso provavelmente exigirá uma atualização do BIOS, o que o usuário lei não saberá como fazer.
Esteja ciente de que isso está por aí. Se você tem um computador que está agindo de forma estranha ou tem certeza de que está infectado com malware, mas reinstalar o sistema operacional não resolve o problema, pode ser um rootkit explorando a vulnerabilidade LogoFAIL. Como sempre, se você estiver interessado em aprender mais ou entrar no campo da segurança cibernética, confira nosso artigo Como começar na segurança cibernética.
O que você acha da vulnerabilidade LogoFAIL? Você acha que veremos enormes violações no futuro decorrentes dessa vulnerabilidade porque as empresas não corrigiram seus BIOS? Deixe-nos saber nos comentários.