El malware UEFI BootKitty aprovecha LogoFAIL para infectar sistemas Linux

Iniciado por AXCESS, Diciembre 02, 2024, 06:15:56 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A continuación se agrega una actualización sobre este bootkit creado por estudiantes del programa de capacitación en ciberseguridad Best of the Best (BoB) de Corea.

El bootkit UEFI para Linux 'Bootkitty', descubierto recientemente, explota la falla LogoFAIL, identificada como CVE-2023-40238, para atacar computadoras que ejecutan firmware vulnerable.

Esto lo confirma la empresa de seguridad de firmware Binarly, que descubrió LogoFAIL en noviembre de 2023 y advirtió sobre su potencial uso en ataques reales.

Conexión de Bootkitty y LogoFAIL

Bootkitty fue descubierto por ESET, que publicó un informe la semana pasada, en el que señalaba que se trata del primer bootkit UEFI dirigido específicamente a Linux. Sin embargo, en este momento, se trata más de un malware UEFI en desarrollo que solo funciona en versiones específicas de Ubuntu, en lugar de una amenaza generalizada.

LogoFAIL es un conjunto de fallas en el código de análisis de imágenes de firmware UEFI utilizadas por varios proveedores de hardware, explotables mediante imágenes o logotipos maliciosos instalados en la Partición del Sistema EFI (ESP).

"Cuando se analizan estas imágenes durante el arranque, se puede activar la vulnerabilidad y se puede ejecutar arbitrariamente una carga útil controlada por el atacante para secuestrar el flujo de ejecución y eludir las funciones de seguridad como el Arranque Seguro, incluidos los mecanismos de Arranque Verificado basados en hardware", explicó Binarly anteriormente.

Según el último informe de Binarly, Bootkitty integra shellcode dentro de archivos BMP ('logofail.bmp' y 'logofail_fake.bmp') para eludir las protecciones de arranque seguro inyectando certificaciones falsas en la variante MokList.

Archivos de imagen maliciosos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El archivo 'logofail.bmp' incorpora un shellcode al final, y un valor de altura negativo (0xfffffd00) activa la vulnerabilidad de escritura fuera de límites durante el análisis.

La lista MokList legítima se reemplaza con un certificado falso, lo que autoriza efectivamente un cargador de arranque malicioso ('bootkit.efi').

Después de desviar la ejecución al shellcode, Bootkitty restaura las ubicaciones de memoria sobrescritas en la función vulnerable (RLE8ToBlt) con instrucciones originales, por lo que se borran todos los signos de manipulación obvia.

Descripción general del ataque Bootkitty
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Impacto en hardware específico

Binarly afirma que Bootkitty podría afectar a cualquier dispositivo que no haya sido parcheado contra LogoFAIL, pero su shellcode actual espera código específico utilizado en módulos de firmware que se encuentran en computadoras Acer, HP, Fujitsu y Lenovo.

El análisis del archivo bootkit.efi realizado por el investigador determinó que los dispositivos Lenovo basados en Insyde son los más susceptibles, ya que Bootkitty hace referencia a nombres de variables y rutas específicas utilizadas por esta marca. Sin embargo, esto podría indicar que el desarrollador solo está probando el bootkit en su propia computadora portátil y agregará soporte para una gama más amplia de dispositivos más adelante.

Algunos dispositivos ampliamente utilizados cuyo firmware más reciente aún es vulnerable a exploits de LogoFAIL incluyen IdeaPad Pro 5-16IRH8, Lenovo IdeaPad 1-15IRU7, Lenovo Legion 7-16IAX7, Lenovo Legion Pro 5-16IRX8 y Lenovo Yoga 9-14IRP8.

"Ha pasado más de un año desde que hicimos sonar la alarma sobre LogoFAIL y, sin embargo, muchas partes afectadas siguen siendo vulnerables a una o más variantes de las vulnerabilidades de LogoFAIL", advierte Binarly.

"Bootkitty sirve como un duro recordatorio de las consecuencias de no abordar adecuadamente estas vulnerabilidades o de no implementar las correcciones correctamente en los dispositivos en el campo".

Si está utilizando un dispositivo sin actualizaciones de seguridad disponibles para mitigar el riesgo de LogoFAIL, limite el acceso físico, habilite el Arranque seguro, proteja con contraseña la configuración UEFI/BIOS, deshabilite el arranque desde medios externos y solo descargue las actualizaciones de firmware desde el sitio web oficial del OEM.

Actualización 2/12/24: ESET actualizó hoy su artículo original sobre BootKitty, indicando que el proyecto fue creado por estudiantes de ciberseguridad en el programa de capacitación Best of the Best (BoB) de Corea.

"El objetivo principal de este proyecto es generar conciencia dentro de la comunidad de seguridad sobre los riesgos potenciales y fomentar medidas proactivas para prevenir amenazas similares", dijo el programa a ESET.

"Desafortunadamente, se dieron a conocer pocas muestras del bootkit antes de la presentación planificada en la conferencia".

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta