Sicherheitsforscher von Binarly sind bei der Analyse von UEFI-Firmwares auf veraltete und verwundbare Parser für verschiedene Bilddateiformate gestoßen. Angreifer könnten mithilfe präparierter Bootlogos Sicherheitsmechanismen wie Secure Boot umgehen, so die Forscher.

LogoFAIL wurden die Schwachstellen getauft. Die Sicherheitsfoscher haben erste Informationen in einem Bericht dazu zusammengetragen. Auf der Konferenz Black Hat Europe am 6. Dezember 2023 wollen sie weiterführende Details veröffentlichen.

Sicherheitslücken in Parsern von UEFI-Firmwares für unter anderem JPEG- und TGA-Bilddateien sind Ansatzpunkte für Angriffe. Die Parser werden offensichtlich von den Entwickler der Firmwares nicht regelmäßig aktualisiert, sodass Schwachstellen nicht geschlossen werden. Die Lücken sollen sich im Independent BIOS Vendor (IBV) Referenzcode befinden. Betroffen sollen die BIOS-UEFI-Anbieter AMI, Insyde und Phoenix sein.

Für einen Angriff müssten die Kriminellen als Einstiegspunkt auf einem nicht näher beschriebenen Weg ein mit Schadcode präpariertes Logo entweder in der EFI System Partition (ESP) oder in einem unsignierten Teil eines Firmwareupdates verankern. Bei der Verarbeitung des präparierten Logos kommt es während des Bootvorgangs zu Fehlern und Angreifer können über eine Payload Sicherheitsmechanismen wie Secure Boot oder Intel Boot Guard umgehen.

Noch ist nicht bekannt, wie es mit Sicherheitsupdates steht, aber die BIOS-/UEFI-Anbieter sollen bereits informiert worden sein.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE