Un attacco recentemente scoperto chiamato LogoFAIL ha esposto centinaia di modelli di computer Windows e Linux a una vulnerabilità di sicurezza ad alto rischio. L'attacco consente l'esecuzione precoce di firmware dannoso nella sequenza di avvio, rendendo estremamente difficile rilevare o rimuovere le infezioni utilizzando gli attuali meccanismi di difesa. LogoFAIL si distingue per la facilità con cui può essere eseguito e per l'ampia gamma di modelli suscettibili, inclusi dispositivi sia di livello consumer che aziendale.

I ricercatori di Binarly, un'azienda specializzata nell'identificazione e protezione di firmware vulnerabili, hanno recentemente presentato LogoFAIL alla Black Hat Security Conference di Londra. Hanno scoperto che LogoFAIL sfrutta le vulnerabilità critiche presenti nelle Unified Extensible Firmware Interfaces (UEFI), che sono responsabili dell'avvio dei dispositivi moderni che eseguono Windows o Linux. Queste vulnerabilità sono passate inosservate per anni e possono essere sfruttate attraverso immagini di loghi appositamente realizzate.

Una volta che l'attacco ha avuto successo, ottiene il pieno controllo della memoria e del disco del dispositivo preso di mira, anche nella fase di avvio più delicata nota come DXE (Driver Execution Environment). Ciò consente l'esecuzione di codice dannoso e la consegna di un payload di seconda fase prima che il sistema operativo principale inizi a funzionare.

LogoFAIL può essere eseguito in remoto tramite vulnerabilità del browser o del lettore multimediale, in cui l'aggressore sostituisce l'immagine legittima del logo con una dannosa. In alternativa, se il dispositivo viene sbloccato brevemente, l'aggressore può sostituire fisicamente il file immagine.

Le parti interessate stanno ora rilasciando avvisi per rivelare quali prodotti sono vulnerabili e fornire patch di sicurezza. Tuttavia, data l’ampia portata di questo attacco nell’ecosistema delle CPU x64 e ARM, compresi i principali fornitori UEFI e produttori di dispositivi, la potenziale minaccia rimane significativa.

È fondamentale che gli utenti aggiornino i propri sistemi con le ultime patch di sicurezza e rimangano vigili contro qualsiasi attività sospetta o tentativo di accesso non autorizzato. Adottando misure proattive, individui e organizzazioni possono ridurre al minimo il rischio di cadere vittime di LogoFAIL e attacchi simili.