Malware-Schlupfloch in PC-Logos entdeckt:
UEFI-Firmware angreifbar
Ausgerechnet die kleinen Logo-Bilder, die beim Bootvorgang eines PCs zu sehen sind, sorgen jetzt für ein Sicherheitsproblem. Experten haben gleich mehrere Schwachstellen aufgespürt, die unter dem Namen LogoFAIL zusammengefasst werden.
Da die Probleme in den Image-Parsing-Bibliotheken auftreten, die von den Herstellern zur Anzeige von Logos während des Bootvorgangs verwendet werden, haben sie weitreichende Auswirkungen und erstrecken sich sowohl auf x86- als auch auf ARM-Architekturen.
Laut den Forschern der Firmware-Supply-Chain-Sicherheitsplattform Binarly bringt dieses Firmen-Branding unnötige Sicherheitsrisiken.
Die Entdeckung der neuen LogoFAIL-Schwachstellen begann dabei als Forschungsprojekt über Angriffsflächen von Image-Parsing-Komponenten im Kontext von benutzerdefiniertem oder veraltetem Parsing-Code in UEFI-Firmware. Die Forscher fanden heraus, dass ein Angreifer ein bösartiges Bild oder Logo auf der EFI-Systempartition (ESP) oder in unsignierten Abschnitten eines Firmware-Updates speichern könnte.
"Wenn diese Bilder beim Booten geparst werden, kann die Schwachstelle ausgelöst und eine vom Angreifer kontrollierte Nutzlast willkürlich ausgeführt werden, um den Ausführungsfluss zu entführen und Sicherheitsfunktionen wie Secure Boot, einschließlich hardwarebasierter Verified Boot-Mechanismen (wie Intel Boot Guard, AMD Hardware-Validated Boot oder ARM TrustZone-basiertes Secure Boot) zu umgehen", erläutern die Forscher von Binarly.
LogoFAIL beeinträchtigt die Laufzeitintegrität nicht, da der Bootloader oder die Firmware nicht verändert werden muss, wie dies zum Beispiel bei der BootHole-Schwachstelle oder dem BlackLotus-Bootkit der Fall war.
Die Forscher betonen, dass die LogoFAIL-Schwachstellen sich auf Anbieter und Chips verschiedener Hersteller auswirken. Die Probleme sind in Produkten vieler großer Gerätehersteller vorhanden, die UEFI-Firmware in Verbraucher- und Unternehmensgeräten verwenden.
Einzelheiten zu LogoFAIL sollen erst am 6. Dezember im Rahmen der Sicherheitskonferenz Black Hat Europe in London vorgestellt werden.
Siehe auch:
LogoFAIL bedroht x86- und ARM-PC
Sie betreffen Image-Parsing-Komponenten im UEFI-Code verschiedener Hersteller und damit eine Vielzahl an Nutzer weltweit. Die Forscher warnen, dass diese Schwachstellen ausgenutzt werden könnten, um den Ausführungsablauf des Bootvorgangs zu manipulieren und dabei Bootkits zu installieren. Dann könnten Angreifer freie Fahrt auf ihre Opfersysteme haben.Da die Probleme in den Image-Parsing-Bibliotheken auftreten, die von den Herstellern zur Anzeige von Logos während des Bootvorgangs verwendet werden, haben sie weitreichende Auswirkungen und erstrecken sich sowohl auf x86- als auch auf ARM-Architekturen.
Laut den Forschern der Firmware-Supply-Chain-Sicherheitsplattform Binarly bringt dieses Firmen-Branding unnötige Sicherheitsrisiken.
LogoFAIL-Entdeckung und Auswirkungen
Der Missbrauch von Bild-Parsern für Angriffe auf die Unified Extensible Firmware Interface (UEFI) wurde bereits im Jahr 2009 demonstriert. Damals hatten die Sicherheitsforscher Rafal Wojtczuk und Alexander Tereshkin gezeigt, wie ein Fehler im BMP-Bildparser ausgenutzt werden kann, um das BIOS zu infizieren und Malware einzuschleusen.Die Entdeckung der neuen LogoFAIL-Schwachstellen begann dabei als Forschungsprojekt über Angriffsflächen von Image-Parsing-Komponenten im Kontext von benutzerdefiniertem oder veraltetem Parsing-Code in UEFI-Firmware. Die Forscher fanden heraus, dass ein Angreifer ein bösartiges Bild oder Logo auf der EFI-Systempartition (ESP) oder in unsignierten Abschnitten eines Firmware-Updates speichern könnte.
"Wenn diese Bilder beim Booten geparst werden, kann die Schwachstelle ausgelöst und eine vom Angreifer kontrollierte Nutzlast willkürlich ausgeführt werden, um den Ausführungsfluss zu entführen und Sicherheitsfunktionen wie Secure Boot, einschließlich hardwarebasierter Verified Boot-Mechanismen (wie Intel Boot Guard, AMD Hardware-Validated Boot oder ARM TrustZone-basiertes Secure Boot) zu umgehen", erläutern die Forscher von Binarly.
Angriffe nur schwer zu entdecken
Die Einschleusung von Malware auf diese Weise gewährleistet zudem, dass sie auf dem System praktisch unentdeckt bleibt, wie frühere Angriffe mit infizierten UEFI-Komponenten gezeigt haben.LogoFAIL beeinträchtigt die Laufzeitintegrität nicht, da der Bootloader oder die Firmware nicht verändert werden muss, wie dies zum Beispiel bei der BootHole-Schwachstelle oder dem BlackLotus-Bootkit der Fall war.
Die Forscher betonen, dass die LogoFAIL-Schwachstellen sich auf Anbieter und Chips verschiedener Hersteller auswirken. Die Probleme sind in Produkten vieler großer Gerätehersteller vorhanden, die UEFI-Firmware in Verbraucher- und Unternehmensgeräten verwenden.
Einzelheiten zu LogoFAIL sollen erst am 6. Dezember im Rahmen der Sicherheitskonferenz Black Hat Europe in London vorgestellt werden.
Zusammenfassung
- Logo-Bilder beim PC-Start verursachen Sicherheitsrisiken
- Experten entdecken Schwachstellen, genannt LogoFAIL
- Betrifft UEFI-Code und Nutzer weltweit
- Bootkits könnten durch Manipulation installiert werden
- Bild-Parser im UEFI seit 2009 als Angriffspunkt bekannt
- Malware durch LogoFAIL schwer zu entdecken
- Schwachstellen beeinflussen viele Gerätehersteller
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen