LogoFAIL, il nuovo attacco che colpisce Windows e Linux

Una nuova minaccia, chiamata LogoFAIL, è un'importante vulnerabilità che mette a rischio una vasta gamma di dispositivi Windows e Linux.

Avatar di Andrea Maiellano

a cura di Andrea Maiellano

Author

Una recente scoperta ha rivelato una nuova minaccia chiamata LogoFAIL, un'importante vulnerabilità che mette a rischio una vasta gamma di dispositivi Windows e Linux. Questo exploit permette l'esecuzione di codice dannoso attraverso le immagini del logo visualizzate durante l'avvio dei dispositivi.

Centinaia di modelli di computer, sia Windows che Linux e prodotti da vari marchi, sono suscettibili a questa vulnerabilità, rendendo le infezioni particolarmente difficili da individuare, o rimuovere, con i normali strumenti di difesa.

La scoperta di questa falla è il risultato di una ricerca condotta da Binarly, che ha individuato circa ventiquattro nuove vulnerabilità nelle Interfacce Firmware Estensibili Unificate (UEFI).

Questi difetti, presenti da diversi anni, permettono l'esecuzione di codice maligno durante la fase di avvio, denominata DXE (Driver Execution Environment). 

Il metodo utilizzato, noto come LogoFAIL, sfrutta i parser delle immagini presenti nelle UEFI di principali fornitori come AMI, Insyde e Phoenix. Questi parser vengono manipolati attraverso immagini del logo che appaiono identiche a quelle originali ma sono state modificate per sfruttare le falle del sistema.

Questa vulnerabilità non richiede un accesso fisico al dispositivo, potendo essere sfruttata completamente dall'OS, eludendo così le consuete barriere di sicurezza tra OS e firmware. 

L'attacco a livello firmware può installare un bootkit, eludendo le misure di sicurezza dell'OS e rimanendo invisibile agli strumenti di difesa. LogoFAIL ha impatto sia su dispositivi x86 che ARM, coinvolgendo una vasta gamma di dispositivi.

Il team di ricerca ha individuato queste vulnerabilità utilizzando uno strumento chiamato fuzzer, identificando ben 24 cause di vulnerabilità, 13 delle quali considerate sfruttabili.

Sebbene siano state individuate vulnerabilità anche in dispositivi Mac, Apple ha previsto una difesa codificando le immagini nel firmware. Allo stesso modo, molti dispositivi Dell sono protetti grazie alla presenza di Intel Boot Guard.

La raccomandazione principale è quella di correggere le vulnerabilità critiche nei parser delle immagini, poiché esse rappresentano un serio pericolo che potrebbe trasformarsi in problemi di sicurezza se non affrontate correttamente.