[English]Im UEFI-Code der Firmware verschiedener BIOS/UEFI-Implementierungen gibt es gleich mehrere kritische Schwachstellen, über die sich Malware in eine System einschleusen ließe. Das Ganze wurde bereits zum 29. November 2023 vom Binarly REsearch Team unter dem Begriff LogoFAIL angekündigt.
Anzeige
Gleich mehrere kritische Schwachstellen im UEFI-Code diverser Firmware-/BIOS-Anbieter könnten von Bedrohungsakteuren ausgenutzt werden, um Sicherheitstechnologien zu umgehen und eine bösartige Nutzlast auf den Mainboards bzw. Systemen zu implantieren.
Das Problem (heap-based buffer overflow) liegt wohl in Bibliotheken zum Image-Parsing, die in der UEFI-Firmware eingebettet sind und potentielle Angriffsvektoren zum Umgehen von Secure Boot, Intel Boot Guard und andere Sicherheitstechnologien bieten. Weiterhin soll es möglich sein, eine bösartige Logo-Image Datei in in die EFI-Systempartition zu schreiben. Daher der Name LogoFail, weil diese Logo-Image-Datei es ermöglicht, dauerhaft Malware im EFI abzulegen und die Systeme so persistent zu kompromittieren.
Die LogoFAIL-Schwachstellen betreffen quasi alle wichtigen unabhängigen UEFI-Firmware-Entwickler wie AMI, Insyde und Phoenix. Daher sind Hunderte Consumer- und Enterprise-Geräten von Herstellern wie Intel, Acer und Lenovo sowohl x86- als auch ARM-Systeme) von diesem Sachverhalt betroffen. Es sind also Firmware-Updates für die Geräte erforderlich – die Entwickler der UEFI-Firmware sind jedenfalls vorab informiert worden. Wie der aktuelle Stand mit Firmware-Updates ausschaut, ist mir derzeit unbekannt.
Anzeige
The Hackers-News hat eine kurze Zusammenfassung des Sachverhalts veröffentlicht. Ein Video, welches das PoC demonstriert, lässt sich auf YouTube abrufen. Die vollständige technische Beschreibung der Schwachstellen steht aktuell unter Embargo und soll zum 6. Dezember 2023 (als Nikolaus-Überraschung) auf der Blackhat Europe-Konferenz erstmals vorgestellt werden.
Anzeige
"Daher sind Hunderte Consumer- und Enterprise-Geräten von Herstellern wie Intel, Acer und Lenovo sowohl x86- als auch ARM-Systeme) von diesem Sachverhalt betroffen."
Den Satz finde ich etwas komisch. Von Intel gibt es schon lange keine Enterprise-Systeme mehr, selbst die NUCs haben sie schon an ASUS abgegeben. Und wenn es nur "hunderte" sind, dann kann man sich ja eigentlich entspannt zurück lehnen, oder? Und was ist mit Dell und HP, nicht anfällig, das sind immerhin zumindestens im Enterprise-Umfeld die beiden größten PC/Server-Hersteller?
Außerdem wäre die Frage sicherlich interessant, wie Antivirus-Hersteller auf diese Attacke reagieren, denn eigentlich müssten diese ja nur die EFI Partition überwachen, und damit verhindern, dass irgendein Prozess (der kein von Microsoft signiertes Setuptool ist) die Logo-Datei austaucht…
Zitat:"PRODUCTS: NUC10i7FN, NUC10i5FN, NUC10i3FN
Fixed issue where LogoFAIL vulnerability. "
Quelle:https://www.intel.de/content/www/de/de/download/19485/bios-update-fncml357.html -> Release Notes (FN_0063_ReleaseNotes.pdf)
Intel hat schon Patches für diese NUCs veröffentlicht.
Wie würde ein Angriff aussehen können, über Hardware z.B. SSD,NVME deren Firmware Manipulationen vornimmt?
Wir werden schlicht bis zum 6. warten müssen, bevor etwas genaueres bekannt wird. Ich gehe aber davon aus, dass die meisten UEFI-Entwickler bereits mit Updates reagiert und den Mainboard-Herstellern Firmware-Updates bereitgestellt haben.
Ich bezweifle es, dass dies auch beim Endkunden ankommt, Lenovo wahrscheinlich, HP und co. auch noch. Jedenfalls, bei den Mainboards(MSI H510, Asrock Deskmini H470…), die ich hier habe, ist noch nichts in Aussicht und die sonstigen Lücken die es gab wurden auch nicht behoben.
Einzig bei dem Intel NUC habe ich die Hoffnung, dass bald etwas folgt.
Generell sieht die Implementierung der Sicherheitsmechanismen wie Intel Boot Guard in den Mainboards nicht so toll aus.
Nur der Intel NUC 12 hat bei mir alles richtig akiviert(bis HSI-3). In Linux kann man das mit "fwupdmgr security" überprüfen.
Aber das wurde auch schon vor Jahren man in einem Vortrag so gezeigt. Die Frage ist, warum die Mainboardhersteller das so offen lassen?
Als ein (Gegen-)Beispiel hat AsRock vorgestern ein repariertes UEFI für ein olles AM4 Mainboard für Endverbraucher veröffentlicht. Werde direkt mal updaten. :)
Betrifft diese Lücke auch AMD Systeme?
Logo Dateien die beim Start angezeigt werden stecken ja in jedem UEFI drin.
x86 und ARM-basierte Systeme. Ergo: Ja.
Ich hätte da eine generelle Frage. Wie kann man denn herausfinden, wie lange es von einem betreffenden Mainboard überhaupt solche Bios Updates gibt?
Also zum Beispiel, wenn ich mir einen Desktoprechner selbst aufbauen will?
Bei dem in meinem jetzigen Rechner verbauten Mainboard von Asus kam das letzte 2018, da werden ja solche erwähnten Lücken nie mehr gepatcht.
Ich meine, so ganz trivial sind solche UEFI Lücken dann ja auch nicht?
Dann bekommt das OS 10 Jahre und mehr Support, aber das UEFI steigt nach der Hälfte der Zeit damit aus, oder sehe ich das als nicht IT'ler falsch?
Das liegt hauptsächlich daran wie lange AMD und Intel für die Hardware UEFI Updates bereitstellen.
Dein Motherboard Hersteller kann nur Updates ausliefern, die vom Hersteller der Hardware (Intel, AMD) bereitgestellt werden.
Gegebenenfalls kann eine Anfrage bei AMD und Intel klären, wann das Support ende erreicht wird.
Für mein ROG Crosshair VI Hero erschien das aktuellste UEFI Update am 06.09.2023. Das Motherboard habe ich im Frühjar 2017 gekauft. Mal schauen wie lange AMD die Plattform noch pflegt.
Das ist dann aber auch ein Problem mit der Nachhaltigkeit? Ich kann ja im Desktoprechner nicht alle paar Jahre das Mainboard tauschen, nur weil die Firmware keinen Support mehr bekommt. Oder muss man da schon sehr paranoid sein, wenn mal das wegen eventueller Sicherheitslücken, die nicht mehr gepatcht werden, machen würde? Und bei Laptops geht das dann ja schon gleich gar nicht.
Mein Asus H97 Plus bekam das letzte Mal, wie gesagt, vor 5 Jahren ein Update, läuft aber klaglos mit Debian.
Nach meiner Erfahrung gibt es Firmware Updates für 2-3 Jahre. 5 Jahre ist schon gut. Viele 10 Jahre alte Rechner sind aber noch performant genug für den Alltag.
Die Folien der Vorträge aus der Konferenz sind veröffentlicht. Hier als direkte Links:
1) i.blackhat.com/USA-22/Wednesday/US-22-Matrosov-Breaking-Firmware-Trust-From-Pre-EFI.pdf
2) i.blackhat.com/EU-23/Presentations/EU-23-Pagani-LogoFAIL-Security-Implications-of-Image_REV2.pdf
Auf die Schnelle war interessant, dass der physische Zugriff auf den Rechner die dauerhafte Kompromittierung erlaubt. Und es eine frühe Phase gibt, bei der keine Schutzmechanismen greifen, weil sie noch nicht gestartet wurden.