Une attaque récemment découverte appelée LogoFAIL a exposé des centaines de modèles d'ordinateurs Windows et Linux à une vulnérabilité de sécurité à haut risque. L'attaque permet à un micrologiciel malveillant d'être exécuté tôt dans la séquence de démarrage, ce qui rend extrêmement difficile la détection ou la suppression des infections à l'aide des mécanismes de défense actuels. LogoFAIL se distingue par la facilité avec laquelle il peut être réalisé et par la large gamme de modèles sensibles, y compris les appareils grand public et professionnels.

Des chercheurs de Binarly, une société spécialisée dans l'identification et la sécurisation des micrologiciels vulnérables, ont récemment dévoilé LogoFAIL lors de la Black Hat Security Conference à Londres. Ils ont découvert que LogoFAIL profite des vulnérabilités critiques présentes dans les interfaces UEFI (Unified Extensible Firmware Interfaces), responsables du démarrage des appareils modernes exécutant Windows ou Linux. Ces vulnérabilités sont passées inaperçues depuis des années et peuvent être exploitées via des images de logo spécialement conçues.

Une fois l'attaque réussie, il prend le contrôle total de la mémoire et du disque du périphérique ciblé, même à l'étape de démarrage la plus sensible connue sous le nom de DXE (Driver Execution Environment). Cela permet l'exécution de code malveillant et la livraison d'une charge utile de deuxième étape avant que le système d'exploitation principal ne démarre.

LogoFAIL peut être exécuté à distance via les vulnérabilités du navigateur ou du lecteur multimédia, où l'attaquant remplace l'image du logo légitime par une image malveillante. Alternativement, si l'appareil est brièvement déverrouillé, l'attaquant peut physiquement remplacer le fichier image.

Les parties concernées publient désormais des avis pour révéler quels produits sont vulnérables et fournir des correctifs de sécurité. Cependant, en raison de la large portée de cette attaque sur l’écosystème des processeurs x64 et ARM, y compris les principaux fournisseurs UEFI et fabricants d’appareils, la menace potentielle reste importante.

Il est crucial que les utilisateurs mettent à jour leurs systèmes avec les derniers correctifs de sécurité et restent vigilants contre toute activité suspecte ou tentative d'accès non autorisée. En prenant des mesures proactives, les individus et les organisations peuvent minimiser le risque d'être victime de LogoFAIL et d'attaques similaires.