Segundo informações da Binarly, o Malware BootKitty UEFI explora o LogoFAIL para infectar o Linux, ou melhor, versões específicas do Ubuntu.
O bootkit Linux UEFI ‘Bootkitty’ recentemente descoberto explora a falha LogoFAIL, rastreada como CVE-2023-40238, para atingir computadores que executam firmware vulnerável.
Isso é confirmado pela empresa de segurança de firmware Binarly, que descobriu o LogoFAIL em novembro de 2023 e alertou sobre seu potencial para ser usado em ataques reais.
Malware BootKitty UEFI explora o LogoFAIL para infectar o Linux
Sim. O Malware BootKitty UEFI explora o LogoFAIL para infectar o Linux. O Bootkitty foi descoberto pela ESET, que publicou um relatório na semana passada, observando que é o primeiro bootkit UEFI visando especificamente o Linux.
No entanto, neste momento, é mais um malware UEFI em desenvolvimento que funciona apenas em versões específicas do Ubuntu, em vez de uma ameaça generalizada.
LogoFAIL é um conjunto de falhas no código de análise de imagens de firmware UEFI usado por vários fornecedores de hardware, explorável por imagens ou logotipos maliciosos plantados na partição do sistema EFI (ESP).
Anteriormente, a Binarly explicou que:
“Quando essas imagens são analisadas durante a inicialização, a vulnerabilidade pode ser acionada e uma carga útil controlada pelo invasor pode ser executada arbitrariamente para sequestrar o fluxo de execução e ignorar recursos de segurança como o Secure Boot, incluindo mecanismos de Verified Boot baseados em hardware”
De acordo com o último relatório da Binarly, o Bootkitty incorpora shellcode em arquivos BMP (‘logofail.bmp’ e ‘logofail_fake.bmp’) para ignorar as proteções do Secure Boot injetando certificações desonestas na variante MokList.
O arquivo ‘logofail.bmp’ incorpora shellcode em seu final, e um valor de altura negativo (0xfffffd00) aciona a vulnerabilidade de gravação fora dos limites durante a análise.
O MokList legítimo é substituído por um certificado desonesto, efetivamente autorizando um bootloader malicioso (‘bootkit.efi’).
Após desviar a execução para o shellcode, o Bootkitty restaura os locais de memória sobrescritos na função vulnerável (RLE8ToBlt) com instruções originais, para que quaisquer sinais de adulteração óbvia sejam apagados.
Impacto em hardware específico
A Binarly diz que o Bootkitty pode impactar qualquer dispositivo que não tenha sido corrigido contra o LogoFAIL, mas seu shellcode atual espera código específico usado em módulos de firmware encontrados em computadores Acer, HP, Fujitsu e Lenovo.
A análise do pesquisador do arquivo bootkit.efi determinou que os dispositivos Lenovo baseados no Insyde são os mais suscetíveis, pois o Bootkitty faz referência a nomes de variáveis e caminhos específicos usados por esta marca.
No entanto, isso pode indicar que o desenvolvedor está apenas testando o bootkit em seu próprio laptop e adicionará suporte para uma gama mais ampla de dispositivos posteriormente.
Alguns dispositivos amplamente usados cujo firmware mais recente ainda é vulnerável a explorações LogoFAIL incluem IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 e Lenovo Yoga 9-14IRP8.
“Já faz mais de um ano desde que soamos o alarme sobre o LogoFAIL e, ainda assim, muitas partes afetadas continuam vulneráveis a uma ou mais variantes das vulnerabilidades LogoFAIL”, alerta a Binarly.
“O Bootkitty serve como um lembrete severo das consequências de quando essas vulnerabilidades não são adequadamente abordadas ou quando as correções não são implantadas corretamente nos dispositivos em campo.”
Se você estiver usando um dispositivo sem atualizações de segurança disponíveis para mitigar o risco LogoFAIL, limite o acesso físico, habilite o Secure Boot, proteja as configurações UEFI/BIOS com senha, desabilite o boot de mídia externa e baixe apenas atualizações de firmware do site oficial do OEM.
Recentemente, a ESET atualizou seu artigo original do BootKitty, afirmando que o projeto foi criado por estudantes de segurança cibernética no programa de treinamento Best of the Best (BoB) da Coreia.
“O objetivo principal deste projeto é conscientizar a comunidade de segurança sobre riscos potenciais e encorajar medidas proativas para prevenir ameaças semelhantes”, o programa disse à ESET.
“Infelizmente, poucas amostras do bootkit foram divulgadas antes da apresentação planejada para a conferência.”
