Forschende finden Sicherheitslücke in UEFI-Bildbibliotheken

Unter dem Namen "Logofail" haben Sicherheitsforschende mehrere Schwachstellen in Image-Parsing-Komponenten im UEFI-Code verschiedener Hersteller dokumentiert. Von den Sicherheitslücken betroffen sind Hunderte von Geräten, darunter Modelle von Intel, Acer, Lenovo und anderen Herstellern, wie die Forschenden auf Binarly schreiben. Dazu würden auch die drei Anbieter von kundenspezifischem UEFI-Firmware-Code: American Megatrends International (AMI), Insyde und Phoenix, gehören. Angreifbar seien sowohl PCs als auch Tablets oder Smartphones.

Angreifer könnten diese Schwachstellen missbrauchen, um den Bootvorgang zu unterwandern und so schädliche Programme in das System einzuschleusen.

Hersteller verwenden die Image-Parsing-Bibliotheken, um ihre Logos während der Boot-Routine anzuzeigen. Nach Ansicht der Forschenden führen die Logos zu unnötigen Sicherheitsrisiken, wie "Bleepingcomputer" schreibt. Angreifer könnten nämlich über diese Bilddateien bösartige Programme in das ESP (Extensible Firmware Interface System Partition) oder in unsignierte Abschnitte eines Firmware-Updates einfügen.

Beim Starten des Geräts wird die Bilddatei inklusive der darin enthaltenen bösartigen Dateien geparst. Ist dies einmal geschehen, können die Programme den weiteren Ausführungsablauf kontrollieren. (Source: binarly.io)

Das Auffahren des Betriebssystems triggert die Malware

Beim Starten des Systems werden die Bilder geparst, was die Schwachstelle auslösen soll. Angreifer könnten Programme ausführen, um den weiteren Ausführungsvorgang zu kapern und Sicherheitsfunktionen wie Secure Boot, einschliesslich hardwarebasierten Verified-Boot-Mechanismen, zu umgehen. Über diese Weise könnten Angreifer zudem Malware so einpflanzen, dass das System diese nicht erkennen würde. Diese Sicherheitslücken können gemäss des Berichts die Sicherheit des gesamten Systems beeinträchtigen, so dass Sicherheitsmassnahmen "unterhalb des Betriebssystems" wie Secure Boot, einschließlich Intel Boot Guard, AMD Hardware Validated Boot (HVB) oder ARMs Trustzone-basiertes Secure Boot, unwirksam werden. Damit könnten Angreifer Kontrolle über weite Teile des Systems erlangen.

Das Forschungsteam ist laut eigener Angaben noch dabei "das tatsächliche Ausmass von "Logofail" zu verstehen". Die Entdeckung der Schwachstellen begann gemäss der Website als kleines Forschungsprojekt. Die Forschenden testeten die Angriffsflächen von Image-Parsing-Komponenten im Kontext von benutzerdefiniertem oder veraltetem Parsing-Code in UEFI-Firmware. Zunächst entdeckten sie die Schwachstelle in Firmware von Lenovo-Geräten. Danach wuchs die Liste betroffener Geräte immer weiter an.

Laut "Heise" informierten die Forschenden die Anbieter der verwundbaren UEFI-Firmware über die Schwachstelle. Allerdings fehlt es aktuell an Informationen zu möglichen Sicherheitsupdates.

Apropos: Auch Acer hat eine kritische Schwachstelle entdeckt, die mehrere Laptop-Modelle betrifft. Angreifer können damit im Zielsystem die UEFI-Secure-Boot-Funktion deaktivieren. Mehr dazu finden Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.