New Security Flaw in UEFI Affects Millions of PCs

It’s important to stay on top of security updates in this ever-changing online world. New vulnerabilities and issues on our hardware and software pop up every day, after all, and hackers and cybercriminals don’t waste a second to take advantage of them. Now, a dangerous vulnerability has been discovered that affects countless computers through UEFI. Continue reading New Security Flaw in UEFI…

View On WordPress

Finally some good fucking exploits!

why are there image parsers in my UEFI???? who thought this was a good thing

Just about every Windows and Linux device vulnerable to new LogoFAIL firmware attack

Source: https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Presentation: https://i.blackhat.com/EU-23/Presentations/EU-23-Pagani-LogoFAIL-Security-Implications-of-Image-Parsing-During-System-Boot.pdf

事実上すべてのハードウェア メーカーの何百もの Windows および Linux コンピュータ モデルが、起動シーケンスの早い段階で悪意のあるファームウェアを実行する新しい攻撃に対して脆弱です。この攻撃により、現在の防御メカニズムを使用して検出または削除することはほぼ不可能な感染が可能になります。 この攻撃（考案した研究者らは「LogoFAIL」と名付けた）は、実行が比較的容易であること、影響を受ける消費者向けモデルと企業向けモデルの両方が広範囲に及ぶこと、そしてそれらを高度に制御できることで注目に値する。 多くの場合、LogoFAIL は、従来のエンドポイント セキュリティ製品では検出できない技術を使用して、エクスプロイト後の状況でリモートから実行される可能性があります。 また、エクスプロイトはブート プロセスの初期段階で実行されるため、業界全体のセキュア ブート、インテルのセキュア ブート、およびいわゆるブートキットを防ぐために考案された他社の同様の保護を含む、多数の防御をバイパスすることができます。感染症。 プラットフォームのセキュリティのためゲームオーバー LogoFAIL は、Windows または Linux を実行する最新のデバイスの起動を担当する統合拡張ファームウェア インターフェイスに、数十年とは言わないまでも、数年にわたって潜んでいた、新たに発見された 24 個の脆弱性の集まりです。 これらの脆弱性は、顧客が脆弱なファームウェアを特定して保護するのを支援する企業である Binarly によるほぼ 1 年に及ぶ研究の成果です。 これらの脆弱性は、水曜日にリリースされる協調的な大規模開示の対象となっている。 参加企業は、UEFI サプライヤーの AMI、Insyde、Phoenix (依然として IBV または独立系 BIOS ベンダーと呼ばれることもあります) をはじめ、x64 および ARM CPU エコシステムのほぼ全体を構成しています。 Lenovo、Dell、HP などのデバイス メーカー。 デバイスに内蔵されている CPU のメーカー (通常は Intel、AMD、または ARM CPU の設計者)。 研究者らは水曜日、ロンドンで開催されたBlack Hat Security Conferenceでこの攻撃を発表した。 Advertisement 影響を受ける当事者は、どの製品に脆弱性があるのか​​、またセキュリティ パッチをどこで入手できるのかを明らかにするアドバイザリを公開しています。 この記事の最後には、勧告へのリンクと脆弱性指定のリストが表示されます。 その名前が示すように、LogoFAIL にはロゴ、特に UEFI がまだ実行中のブート プロセスの早い段階でデバイスの画面に表示されるハードウェア販売者のロゴが関係します。 3 つの主要な IBV の UEFI のイメージ パーサーには、これまで見過ごされてきた約 12 個の重大な脆弱性が存在します。 LogoFAIL は、正規のロゴ画像を、これらのバグを悪用するために特別に作成された同一の外観の画像に置き換えることにより、DXE (Driver Execution Environment の略) として知られるブート プロセスの最も機密性の高い段階で悪意のあるコードを実行できるようにします。 。 「DXEフェーズで任意のコードが実行されると、プラットフォームのセキュリティはゲームオーバーだ」と脆弱性を発見したセキュリティ企業Binarlyの研究者らはホワイトペーパーで述べている。 「この段階から、ターゲット デバイスのメモリとディスク、つまり起動されるオペレーティング システムを完全に制御できるようになります。」 そこから、LogoFAIL は、メイン OS が起動する前に実行可能ファイルをハード ドライブにドロップする第 2 段階のペイロードを配信できます。 次のビデオは、研究者が作成した概念実証エクスプロイトを示しています。 感染したデバイス (6 月にリリースされた UEFI を搭載した第 11 世代 Intel Core を実行する第 2 世代 Lenovo ThinkCentre M70) は、セキュア ブートやインテル ブート ガードなどの標準ファームウェア防御機能を実行します。

ほぼすべての Windows および Linux デバイスが、新しい LogoFAIL ファームウェア攻撃に対して脆弱です。 アルス テクニカ

LogoFAIL: UEFI Vulnerabilities Expose Devices to Stealth Malware Attacks

http://i.securitythinkingcap.com/SzgLwS

shim Bootloader mit Risiko "hoch"

Update inzwischen verfügbar

Der Open Source Linux Bootloader "shim" enthält eine Sicherheitslücke, mit der Angreifer eigenen Code einschleusen können. Die Warnung CVE-2023-40547 (CVSS 8.3, Risiko "hoch") beschreibt die Gefahr, dass bei einem solchen "Man in the Middle" Angriff in Speicherbereiche außerhalb des allokierten Bereichs geschrieben werden kann (Out-of-bound write primitive). Damit kann das ganze System kompromittiert werden.

Der einzige Zweck von shim als eine "triviale EFI-Applikation" ist der, dass damit auf handelsüblichen Windows-Computern auch andere vertrauenswürdige Betriebssysteme mit Secure Boot zu starten sind. Microsoft macht es mit SecureBoot und seinen EFI/UEFI Bootloadern anderen Systemen weiterhin schwer als System neben Windows installiert zu werden.

Ein Update auf shim 5.18 korrigiert die Sicherheitslücke und repariert auch weitere Schwachstellen. So war erst im Dezember 2023 eine Lücke im Secure-Boot auf BIOS-, bzw. UEFI-Ebene unter dem Namen "LogoFAIL" bekannt geworden.

Mehr dazu bei https://www.heise.de/news/Bootloader-Luecke-gefaehrdet-viele-Linux-Distributionen-9624201.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3yU Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8678-20240210-shim-bootloader-mit-risiko-hoch.html

LogoFAIL: O Ataque de Firmware que Ameaça Milhões de Computadores

Recentemente, na Conferência de Hacking Black Hat Security em Londres, investigadores da empresa Binarly apresentaram um ataque de firmware denominado LogoFAIL. Este ataque é particularmente perigoso, pois explora uma vulnerabilidade que afecta dezenas de milhões de computadores pessoais com sistemas operativos Windows e Linux. A vulnerabilidade em questão afecta a Interface de Firmware…

View On WordPress

As its name suggests, LogoFAIL involves logos, specifically those of the hardware seller that are displayed on the device screen early in the boot process, while the UEFI is still running. Image parsers in UEFIs from all three major IBVs are riddled with roughly a dozen critical vulnerabilities that have gone unnoticed until now. By replacing the legitimate logo images with identical-looking ones that have been specially crafted to exploit these bugs, LogoFAIL makes it possible to execute malicious code at the most sensitive stage of the boot process, which is known as DXE, short for Driver Execution Environment.

Just about every Windows and Linux device vulnerable to new LogoFAIL firmware attack | Ars Technica

Sigh.

Una nueva vulnerabilidad en Linux y Windows amenaza con poner de cabeza al mundo entero. Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema. El ataque, conocido como LogoFAIL, puede colocar un ejecutable en el duro y es imposible de eliminar por cualquier antivirus.

LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender nuestro ordenador por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe ninguna solución de seguridad que pueda detenerlo.

Nearly Every Windows and Linux Device Vulnerable To New LogoFAIL Firmware Attack

http://dlvr.it/SzpPN9

Just about every Windows/Linux device vulnerable to new LogoFAIL firmware attack

https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

{HT Steve} As its name suggests, LogoFAIL involves logos, specifically those of the hardware seller that are displayed on the device screen early in the boot process, while the UEFI is still running. Image parsers in UEFIs from all three major IBVs are riddled with roughly a dozen critical vulnerabilities that have gone unnoticed until now. By replacing the legitimate logo images with identical-looking ones that have been specially crafted to exploit these bugs, LogoFAIL makes it possible to execute malicious code at the most sensitive stage of the boot process, which is known as DXE, short for Driver Execution Environment.

{Rob Joyce 👁️‍🗨️Personal opinion: 23andMe hack was STILL worse than they are owning with the new announcement. I create unique emails for companies.

ex: 23andme[xx]@[mydomain].com. That account is used NOWHERE else and it was unsuccessfully stuffed. Someone stole all their customer emails}

Hashtag: DNA 🧬

[Rob Joyce 🔍Solved. 🗨️ 23andme reached out to understand and make sure there was nothing they missed. They correlated my email to a breech of MyHeritage in 2018. I used a unique address with 23andme, but in 2015 they partnered with MyHeritage to provide their family tree capability. I have an email from them including "As of May 1, 2015, the current 23andMe family tree tool will no longer be available. You will be able to access the MyHeritage family tree from within the 23andMe experience and share your tree with other 23andMe users on an ongoing basis". I crossed the streams using the MyHeritage tool inside the 23andme experience. MyHeritage was breached in 2018, providing an email address to stuff at 23andme. Good news is both accounts had long, unique passwords and so compromise didn't happen.]

Might want to think twice before visiting this church. Pinksquaremedia.co.uk #pinksquaremedia #logosgonewrong #logofails #logodesigns #keepitsimple #businessowner #startupbusiness #websitedesign #marketing #smallbusiness #barrowinfurness #cumbria #lakedistrict #southlakes #digitalmarketing #funnylogo #marketingtips #doubletake #senseofhumour #sundayfunday #marketingagency #bevisual #befound #besocial #berememberedforgood #easilyamused #notfortheeasilyoffended #seo #socialmediamarketing #socialmedia (at Pink Square Media) https://www.instagram.com/p/B4aLOsMgSqH/?igshid=1wwkfjotzd0zk