Ecco come proteggere i tuoi computer dagli attacchi di LogoFAIL
Ecco come proteggere i tuoi computer dagli attacchi di LogoFAIL le migliori soluzioni per la sicurezza informatica
Il team di ricerca di Binarly REsearch, un’azienda specializzata nella sicurezza della catena di approvvigionamento dei firmware, ha scoperto una serie di vulnerabilità di sicurezza chiamata LogoFAIL nascoste nelle Unified Extensible Firmware Interfaces (UEFI) che utilizziamo per avviare quasi tutti i dispositivi di calcolo moderni. Linux o Windows, ARM o x86, non importa, sono tutti vulnerabili.
Questa minaccia si nasconde nei sistemi da anni, addirittura da decenni. Quello che la rende particolarmente preoccupante è la vasta gamma di computer per consumatori e aziende che sono stati colpiti. Il cuore di LogoFAIL è la sua sfruttazione dei loghi mostrati sullo schermo del dispositivo durante il processo di avvio iniziale, mentre UEFI è ancora in esecuzione.
Inoltre: I migliori servizi VPN (e come scegliere quello giusto per te)
Questa sfruttazione avviene nelle fasi più precoci del processo di avvio, quindi gli attacchi eludono le difese di UEFI, come Microsoft Secure Boot e Intel Secure Boot, che sono progettate per bloccare le infezioni da bootkit. Questa tecnica è davvero una brutta notizia.
In particolare, l’attacco sfrutta i parser di immagini UEFI. Ci sono programmi disponibili che visualizzano i loghi di avvio, in modo che tu possa vederli. Questo software è incorporato in UEFI dai principali fornitori indipendenti di BIOS (IBV), come AMI, Insyde e Phoenix.
- Dell sconti di vendita per le vacanze su laptop, monitor e altro an...
- Ho trovato tutti i migliori sconti sui laptop da gaming per le vaca...
- Questo laptop da gaming HP con una RTX 4060 ha uno sconto di $500 o...
Il firmware UEFI può contenere parser per immagini in vari formati, tra cui BMP, GIF, JPEG, PCX e TGA. Nel complesso, il team di Binarly ha trovato 29 problemi di sicurezza, di cui 15 erano sfruttabili per l’esecuzione di codice arbitrario.
Inoltre: I migliori servizi VPN per iPhone e iPad (sì, ne hai bisogno)
In breve, questi parser di immagini UEFI erano mal mantenuti e pieni di vulnerabilità critiche. Gli attaccanti possono sostituire i loghi legittimi con altri che hanno un aspetto identico ma sono stati appositamente creati per sfruttare i bug. Questa tecnica consente l’esecuzione di codice maligno nella fase di Driver Execution Environment (DXE), una parte altamente sensibile del processo di avvio. Questo attacco avviene prima che il sistema operativo si avvii.
Come hanno affermato i ricercatori di Binarly: “Una volta che l’esecuzione di codice arbitrario viene raggiunta durante la fase DXE, è game over per la sicurezza della piattaforma”. Da questo punto in poi, gli attaccanti hanno “controllo completo sulla memoria e sul disco del dispositivo di destinazione, compreso il sistema operativo che verrà avviato”.
Quindi, una volta che l’esecuzione di codice arbitrario viene raggiunta durante la fase DXE, un attaccante ha il pieno controllo sulla memoria e sul disco del dispositivo di destinazione, compreso il sistema operativo che verrà avviato. Questa capacità rende possibile per LogoFAIL rilasciare una seconda fase di payload che deposita un eseguibile sull’hard disk prima ancora che il sistema operativo principale inizi. Questo livello di accesso rende praticamente impossibile rilevare o rimuovere l’infezione utilizzando i meccanismi di difesa attuali.
Le vulnerabilità sono state divulgate durante la Black Hat Security Conference di Londra e le parti interessate stanno rilasciando avvisi che indicano quali dei loro prodotti sono vulnerabili e dove ottenere le patch di sicurezza. L’impatto diffuso di LogoFAIL è evidente poiché colpisce praticamente l’intera ecosistema CPU x64 e ARM, compresi i fornitori di UEFI, i produttori di dispositivi come Lenovo e HP e i produttori di CPU come Intel, AMD e i progettisti di CPU ARM.
Inoltre: I migliori dispositivi di sicurezza del 2023
Ma perché questo attacco è un problema così grande? Voglio dire, chi vuole cambiare i loghi di avvio sui loro computer? La risposta, secondo l’esperto di sicurezza Bruce Schneier, sono le aziende: “I compratori aziendali vogliono la possibilità di mostrare i loro loghi. Quindi questa capacità deve essere nel BIOS, il che significa che le vulnerabilità non sono protette da alcuna delle difese del sistema operativo. E i produttori BIOS probabilmente hanno preso una libreria grafica a caso da internet e non ci hanno mai pensato dopo quello.”
Ora qualche buona notizia
I Mac, gli smartphone e altri dispositivi che non utilizzano UEFI non sono vulnerabili. Anche i Mac Intel di Apple, che utilizzano UEFI per l’avvio, non possono essere attaccati da LogoFAIL. Questa protezione avviene perché Apple ha codificato le immagini del suo logo nell’UEFI e non è possibile sostituirle con una copia maligna.
La maggior parte dei computer Dell non è vulnerabile, neanche. Questo perché l’azienda utilizza Intel Boot Guard per rendere impossibile la sostituzione delle immagini. Inoltre, i dispositivi Dell, in generale, non permettono di cambiare immagini del logo.
Se hai macchine vulnerabili, prima di tutto devi assicurarti che nessuno possa accedere al dispositivo in primo luogo. Questo livello di protezione implica l’aggiornamento del sistema operativo e dei programmi contro tutti gli attacchi conosciuti. Se utilizzi Windows, aggiorna le tue protezioni antivirus. Questi programmi non possono fermare LogoFAIL, ma possono impedirti di ricevere malware che caricherà LogoFAIL nel tuo sistema.
Inoltre: I migliori VPN per lo streaming dei tuoi show e sport preferiti
Il trucco è impedire agli attaccanti di accedere alla Partizione di Sistema EFI (ESP) in primo luogo. Questa parte nascosta del tuo disco è dove viene memorizzata l’immagine del logo. Se gli attaccanti non possono raggiungere l’ESP, non possono attaccarlo.
La soluzione reale è aggiornare il firmware. I fix stanno arrivando da AMI, Intel, Insyde, Phoenix e Lenovo. Non verranno rilasciati velocemente, però. Come afferma Intel: “Gli aggiornamenti del BIOS saranno rilasciati a fine del quarto trimestre 2023 o inizio del primo trimestre 2024.” Certo, ho sempre voluto passare le vacanze invernali ad aggiornare e riavviare tutti i miei computer — e sono sicuro che tu lo hai desiderato anche.
Nel frattempo, blocca il più possibile i tuoi sistemi, in modo che un attaccante LogoFAIL non possa prendere piede. Una volta dentro, è quasi certo che non riuscirai a rimuoverli.
