LogoFail-Sicherheitslücke gefährdet viele Windows- und Linux-Geräte

Viele handelsübliche Computer sind anfällig für eine Reihe von Sicherheitslücken, die Fehler bei der Verarbeitung von Startlogos während des Bootvorgangs ausnutzen.

Sicherheitsexperten von Binarly haben Sicherheitslücken in der System-Firmware aufgedeckt, die von Computerherstellern während des Startvorgangs verwendet wird. Die Schwachstelle betrifft x86- und ARM-basierte Geräte.

Die Sicherheitslücken befinden sich in BIOS-Software, die von unterschiedlichen Unternehmen entwickelt wurde, darunter die drei größten unabhängigen Bios-Anbieter AMI, Insyde und Phoenix. Diese sind in der Industrie weit verbreitet, zum Beispiel in Computern von Intel, Acer oder Lenovo. Alex Matrosov, CEO von Binarly, sagt, dass etwa 95 % aller Computer Firmware von den drei Bios-Anbietern verwenden.

Binarly schätzt, dass fast alle Geräte dieser Hersteller "auf die eine oder andere Weise" anfällig sind.

Vereinfacht ausgedrückt, nutzt LogoFail Sicherheitslücken in Image-Parsern aus, die die betroffenen Geräte verwenden, um Herstellerlogos beim Booten anzuzeigen. Für die Anzeige verschiedener Bildtypen werden unterschiedliche Image-Parser verwendet, die laut Matrosov mit zahlreichen Sicherheitslücken behaftet sind.

Ein Hacker muss das Herstellerbild durch ein speziell präpariertes Bild ersetzen, um die Sicherheitslücke auszunutzen und beliebigen Code auf dem Gerät auszuführen. Binarly erklärt, dass Angreifer bösartige Logo-Images auf der EFI-Systempartition oder in unsignierten Abschnitten eines Firmware-Updates speichern können. Die Images werden dann während des Bootens geparst, was den Angriff auf das System auslöst.

Der Angriff ermöglicht es Angreifern, Sicherheitsfunktionen wie Secure Boot zu umgehen. Binarly merkt an, dass dies auch hardwarebasierte Verified Boot-Systeme betrifft, einschließlich Intel Boot Guard, AMD Hardware-Validated Boot und ARM TrustZone-basiertes Secure Boot.

Binarly glaubt, dass der Angreifer in der Lage sein könnte, "die meisten Endpunkt-Sicherheitslösungen" zu umgehen und ein persistentes Stealth-Firmware-Bootkit in das System zu integrieren. Mit anderen Worten: Angreifer könnten LogoFail ausnutzen, um die Sicherheit vieler Computersysteme zu gefährden.
Angriffe und Schutz

Angreifer müssen sich administrativen Zugriff auf die Zielgeräte verschaffen, um die Sicherheitslücke auszunutzen. Dies kann durch bösartige Nutzdaten, die in das System eingeschleust werden, z. B. indem der Benutzer dazu gebracht wird, bösartige Software auszuführen, oder durch Exploits erreicht werden.

Sobald der Angreifer sich Zugang verschafft hat, würde er das Boot-Logo des Herstellers durch ein bösartiges Logo ersetzen, das das Gerät dann beim Booten lädt.

Ein Angreifer wäre in der Lage, UEFI-Sicherheitsfunktionen wie SecureBoot zu deaktivieren, die Bootreihenfolge zu ändern und bösartige Software auszuführen, um Betriebssysteme zu infizieren.

Für einige der betroffenen Geräte sind bereits Firmware-Updates verfügbar oder werden in Kürze veröffentlicht. Administratoren sollten nach Firmware-Updates für die von ihnen verwalteten Geräte suchen, die die Schwachstellen beheben. Allerdings werden nicht alle Geräte Firmware-Updates erhalten. Insbesondere Geräte, die nicht mehr unterstützt werden, erhalten sie möglicherweise nicht.

Eine Suche nach "Gerätename Firmware-Update" oder "Gerätename Treiber" sollte die Website des Herstellers des Geräts zum Herunterladen von Treibern ergeben.

Benutzer von Geräten ohne Firmware-Updates müssen besonders vorsichtig sein und Schutzmaßnahmen ergreifen, um den ersten Angriff auf das Gerät zu vermeiden (für den administrativer Zugriff erforderlich ist).

Weitere Informationen zu dieser Sicherheitslücke finden Sie auf der Binarly-Webseite und in der CERT-Datenbank.