Kártékony kódokról, illetve sebezhetőségekről elég sokszor érkeznek hírek, ám olyasmire ritkán van példa, mint amire a Binarly munkatársai felhívták a figyelmet.
A biztonságtechnikai kutatók által felfedezett sebezhetőség a LogoFAIL nevet kapta, méghozzá azért, mert az UEFI firmware Image-Parsing funkciójának sebezhetőségét használva lecseréli azt a logót, ami a rendszer indításakor megjelenik, helyette kártékony kód kap helyet az UEFI firmware-t tartalmazó EEPROM-ban. Mivel így a kártékony kód minden hardveres és szoftveres védelmet megelőzően tud aktiválódni, észlelése rendkívül nehéz, valamint eltávolítása sem egyszerű. A kártékony kód a sebezhetőségen keresztül semlegesít minden olyan védelmet, amelyet eredetileg a bootkit alapú támadás megakadályozása érdekében (is) hoztak létre.
A hiba nagyon sok alaplapot, illetve PC- és notebook-konfigurációt érint, amelyen AMI, Insyde, vagy éppen Phoenix típusú UEFI firmware teljesít szolgálatot, teljesen mindegy, milyen operációs rendszer fut rajta, Linux vagy éppen Windows. Az Intel, AMD, valamint ARM alapú rendszerekre egyaránt veszélyt jelentő LogoFAIL bármelyik platformon működik, ahol lehetőség van a boot logó átírására, ugyanis a képet feldolgozó rutin sebezhetőséget tartalmaz.
A Binarly szakemberei szerint a támadás akkor történik, amikor a Driver Execution Environment aktiválódik egy sikeres POST folyamat után. Maga a DXE azért felel, hogy a boot folyamathoz szükséges folyamatokat elindítsa, így sor kerül egyebe mellett a processzor, a lapkakészlet, illetve számos egyéb komponens inicializálására, természetesen előre meghatározott sorrend szerint, így a boot folyamat rendben lezajlik. A LogoFAIL támadás során az UEFI boot logót veszi célba a kártékony kód, majd folytatódik a DXE folyamat, mint ha semmi sem történt volna.
A támadásformát egy 11. generációs Intel Core sorozatú processzorral felszerelt Lenovo ThinkCentre M70s típusú rendszerrel demonstrálták, ami mint Intel Secure Boot, mind pedig Boot Guard védelmet használt, valamint az akkoriban elérhető legfrissebb UEFI firmware is jelen volt rajta. A Binarly alapítója és ügyvezetője, Alex Matrodov szerint a támadás az UEFI által használt képfeldolgozó könyvtárakban lévő sebezhetőség miatt lehet sikeres.
Jellege miatt mind a CPU, mind az operációs rendszer, mind pedig a külsős gyártók védelmi megoldásait képes megkerülni. Mivel a kártékony kód nem az adattárolón foglal helyet, hanem beépül az UEFI firmware-t található EEPROM-ba, így természetesen nem távolíthatjuk el az operációs rendszer újratelepítésével. A települő kártékony kód később bootkitet is letölthet, amelyet semmilyen biztonsági megoldás nem észlel és eltávolítani sem tud, éppen ezért a sebezhetőség rendkívül veszélyes, és a támadók szemszögéből nézve meglehetősen hatékony is. Arról egyelőre nincs hír, hogy a sebezhetőséget kiaknázzák-e már, azaz történtek-e már konkrét fertőzések. A fertőzött firmware felülírásával, illetve a boot logo visszaállításával elméletileg eltávolítható lehet a kártékony kód.
Jó hír lehet, hogy sok OEM gyártó, így egyebek mellett a Dell sem engedélyezi saját UEFI logójának megváltoztatását, ennek megfelelően ezek a rendszerek biztonságban vannak, nem érinti őket a sérülékenység. Ugyanígy biztonságban vannak az Apple különböző asztali és mobil Mac konfigurációi, amelyeknél a hardvert és a szoftvert az Apple házon belül fejleszti, és amelyeknél az UEFI-ben tárolt képek módosítására ugyancsak nincs lehetőség. Ugyanez a helyzet azoknál a régebbi Mac konfigurációknál is, amelyek még Intel processzort használnak.
Minden egyéb rendszernél, ahol a boot folyamat során megjelenő képek módosításának lehetőségét megtiltotta az adott rendszerintegrátor, biztonságban vannak a felhasználók, ugyanis a LogoFAIL hatástalan velük szemben. A többi esetben mindenképpen szükség lesz a később érkező UEFI frissítés telepítésére, az ugyanis bezárja a kiskaput.
Az OEM-ek és az alaplapgyártók dolgoznak a frissítések kiadásán, így érdemes lesz ellenőrizni az adott alaplap és az adott konfiguráció gyártójának hivatalos weboldalát, elkészült-e már a LogoFAIL ellen védő frissítés.
