Quando você liga um computador, o logotipo do fabricante é exibido na tela antes da inicialização do sistema operacional, sendo que este logotipo pode ser substituído por outro. O LogoFAIL aproveita exatamente isso!
Embora a UEFI tenha uma proteção bastante robusta contra a execução de código malicioso, o programa interno que carrega o logotipo para ser mostrado na tela não é tão bem protegido.
E como o logotipo que aparece durante o carregamento do sistema operacional é salvo na UEFI, uma imagem maliciosa pode infectar a UEFI com um bootkit, um malware de difícil detecção por qualquer antivírus.
Durante o evento BlackHat Europe 2023 , a Binarly REsearch encontrou nada menos que vinte e quatro falhas nas três principais empresas que criam UEFI (AMI, Insyde e Phoenix), tornando possível infectar qualquer computador, notebook, tablet ou servidor através da imagem de boot.
Para conseguir isso, os pesquisadores de segurança modificaram o código da imagem, gerando um erro interno quando ela é mostrada. Isso faz com que parte do código da imagem seja salvo na área de dados executáveis – e como esses dados são executados com privilégios máximos, pode-se executar QUALQUER código dessa maneira.
No vídeo de demonstração, o código inserido cria um arquivo na Área de Trabalho do Windows:
Os pesquisadores informaram que centenas de computadores e servidores estão vulneráveis ao LogoFAIL por utilizarem placas-mãe da Acer, Dell, Fujistu, Gigabyte, HP, Intel, Lenovo, MSI, Samsung e Supermicro.
Para piorar, esse ataque pode até ser realizado remotamente, pois bastaria injetar uma imagem especialmente preparada na partição do sistema EFI no disco do sistema, e ela seria processada na próxima reinicialização.
Apenas computadores e servidores que não permitem mudança do logotipo estão imunes ao LogoFAIL.
As empresas afetadas estão disponibilizando atualizações para impedir que o LogoFAIL funcione, sendo que até mesmo o Boot Seguro não impede o funcionamento do LogoFAIL.
Exemplo da atualização de firmware para a placa-mãe Gigabyte Z690 UD DDR4:
Mais informações técnicas estão aqui .
