LogoFAIL : un simple logo peut infecter l’UEFI de votre machine Windows ou Linux
Baptisée LogoFAIL par les chercheurs en sécurité de Binarly, cet ensemble de vulnérabilités dans l'UEFI affecte le matériel de pratiquement tous les fabricants où une puce x86 ou ARM est utilisée. L'exploitation de LogoFAIL permet le déploiement d'un bootkit via la bibliothèque d'images du firmware. Faisons le point sur cette menace potentielle.
À l'occasion de la conférence BlackHat Europe 2023 qui s'est déroulée à Londres, les chercheurs en sécurité de Binarly ont levé le voile sur LogoFAIL, une technique d'attaque qui repose sur un ensemble de vulnérabilités présentes dans les bibliothèques d'analyse d'images utilisées par les fournisseurs pour afficher les logos pendant le processus de démarrage de la machine. De ce fait, des centaines de modèles d'ordinateurs, aussi bien sous Windows que Linux, sont vulnérables à cette technique d'attaque qui affecte, une nouvelle fois, l'UEFI.
Cette attaque consiste à déployer un bootkit, un logiciel malveillant qui affecte le processus de démarrage de la machine et qui est difficile à détecter et à éliminer. D'ailleurs, en début d'année 2023, le bootkit BlackLotus avait fait parler de lui, car il parvenait à outrepasser le Secure Boot de Windows. Si l'on prend l'exemple de LogoFAIL, la technique permet de rendre inefficaces des mécanismes de protection comme l'Intel Boot Guard.
Comment exploiter LogoFAIL ?
Pour exploiter l'ensemble de vulnérabilités LogoFAIL, il est nécessaire d'altérer le contenu de la bibliothèque d'images du firmware. Autrement dit, l'attaquant doit disposer d'une image de logo malveillante qui va remplacer l'image officielle chargée au démarrage de votre ordinateur, que ce soit le logo Samsung, le logo HP, le logo Acer ou encore celui de Dell.
Cette image spécialement conçue aura pour objectif de déployer la charge utile sur la machine ciblée. Ceci permettra à l'attaquant d'exécuter du code malveillant sur la machine, car il a un accès total au disque et à la mémoire de l'ordinateur (y compris sur le système d'exploitation en ligne).
L'attaque peut être déployée grâce à un accès physique à la machine, mais également à distance dans un scénario de post-exploitation, après la compromission initiale de la machine.
Désormais, les fabricants ont connaissance des vulnérabilités mises en évidence par LogoFAIL et ils vont déployer des mises à jour de sécurité pour le firmware des ordinateurs. Vous savez ce qu'il vous reste à faire....
Retrouvez les slides de la présentation de la conférence BlackHat Europe 2023 sur cette page. Voici également une vidéo de démonstration :
Une puce x86 suggère une puce 32bit ou bien un système 64bit sur une puce x64 est donc pas concernée ?
Hello, je pense qu’ici le terme x86 est utilisé de façon générique (voire historique) incluant x32 et x64 par opposition à l’ARM. Les puces x64 avec système 64 bits sont bien concernées.
de toutes façons pour être » infecté » par ça ou autre chose ça implique un certain laxisme dans l’entreprise … donc si ça arrive y a un peu de volontariat aussi … l’informatique gère tout si ça merde les conséquences peuvent être monstrueuse donc c’est aux entreprises de faire le nécessaire pour limiter l’accès physique aux machines et le cas échéant limiter l’acces aux ports USB et enfin restreindre les accès logiciels à tout ce qui » sort des attributions des postes concernés » ; y a pas de secret ; sans sécurité les merdes arrivent, c’est vrai … en limitant au max c’est déjà plus délicat … donc faut pas « » sur dramatiser non plus « » ; à force de se manger peut être qu’ils simplifieront leurs installations ou/et les sécuriseront tout simplement …
L’attaque peut se faire à distance, sans aucune interaction utilisateur.