Lenovo, AMI e Insyde han lanzado parches para LogoFAIL, un ataque de envenenamiento de biblioteca de imágenes.
Los investigadores de la empresa de plataforma de seguridad de la cadena de suministro de firmware Binarly descubrieron un conjunto de vulnerabilidades de seguridad que exponen a casi todas las computadoras con Windows y Linux a ataques. Los investigadores de seguridad llamaron al ataque LogoFAIL debido a sus orígenes en bibliotecas de análisis de imágenes. Binarly anunció su descubrimiento el 29 de noviembre y realizó una divulgación masiva coordinada en la Conferencia de Seguridad Black Hat en Londres el 6 de diciembre.
Cualquier dispositivo x86 o basado en ARM que utilice el ecosistema de firmware Unified Extensible Firmware Interfaces podría estar potencialmente expuesto al ataque LogoFAIL. Binarly todavía está investigando si otros fabricantes se ven afectados. LogoFAIL es particularmente peligroso porque puede ejecutarse de forma remota de maneras que muchos productos de seguridad de terminales no pueden detectar.
No se sabe que esta vulnerabilidad haya sido explotada, aunque varios proveedores han lanzado parches.
Salta a:
¿Cómo funciona el ataque LogoFAIL?
LogoFAIL es una serie de vulnerabilidades por las cuales los analizadores de imágenes gráficas en el firmware del sistema pueden usar versiones personalizadas de bibliotecas de análisis de imágenes. Básicamente, un atacante puede reemplazar una imagen o logotipo (de ahí el nombre) que aparece mientras el dispositivo se inicia y obtener acceso al sistema operativo y a la memoria desde allí (Figura A).
Figura A
Los ataques basados en el firmware del sistema UEFI han existido desde principios de la década de 2000, pero “… el número de analizadores de imágenes ha aumentado significativamente a lo largo de los años”, escribió Binarly. Más analizadores de imágenes significan una superficie de ataque más amplia.
En pocas palabras, los atacantes podrían incrustar código malicioso en logotipos que aparecen durante la etapa del entorno de ejecución del controlador en el proceso de arranque, como el logotipo del fabricante del dispositivo. Desde allí, los atacantes pueden acceder y controlar la memoria y el disco del dispositivo (Figura B). Binarly tiene una explicación técnica.
Figura B
Binarly demostró que podían cargar código ejecutable en el disco duro antes de que el dispositivo se iniciara por completo.
“Nos hemos centrado mucho en informar las vulnerabilidades descubiertas principalmente por el producto Binarly Transparency Platform, pero el trabajo en LogoFAIL fue diferente y originalmente se inició como un pequeño proyecto de investigación sólo por diversión”, escribió el equipo de Binarly. “Después de demostrar una gran cantidad de interesantes superficies de ataque a partir de componentes de firmware de análisis de imágenes, el proyecto se convirtió en una divulgación masiva en toda la industria”.
VER: Cisco Talos analizó las tendencias de ciberseguridad de 2023 (TechRepublic)
Cómo defenderse contra LogoFAIL
Las siguientes empresas han lanzado parches para LogoFAIL:
ArsTechnica recomienda ejecutar defensas UEFI como Secure Boot, Intel Boot Guard, Intel BIOS Guard o sus equivalentes para CPU AMD o ARM. Los líderes del departamento de tecnología deben informar a los empleados cómo descargar parches según corresponda.
