Eine neue Sicherheitslücke namens LogoFail wurde von den Sicherheitsforschern von Binarly entdeckt. LogoFail betrifft fast alle modernen Computer, die Windows oder Linux verwenden, unabhängig von der CPU-Architektur. Die Schwachstelle ermöglicht es Angreifern, Schadcode auszuführen und etwaige Sicherheitsmechanismen wie Secure Boot zu umgehen.
LogoFail basiert auf der Ausnutzung von Bildverarbeitungsbibliotheken, die von BIOS-Herstellern (IBVs) wie AMI, Insyde und Phoenix in die UEFI-Firmware integriert werden. Diese Bibliotheken werden verwendet, um die Logos der Gerätehersteller während des Bootvorgangs darzustellen. Die Forscher fanden heraus, dass diese Bibliotheken mehrere kritische Schwachstellen aufweisen, die eine willkürliche Codeausführung ermöglichen.
Ein Angreifer kann ein legitimes Logo-Bild durch ein identisch aussehendes Bild ersetzen, das speziell erstellt wurde, um die Schwachstellen auszunutzen. Dadurch kann der Angreifer Code in der sensibelsten Phase des Bootvorgangs ausführen, nämlich dem DXE (Driver Execution Environment). Von dort aus kann der Angreifer die volle Kontrolle über den Speicher und die Festplatte des Geräts erlangen, einschließlich des Betriebssystems. Diese Art von Angriff ist sehr schwer zu erkennen oder zu entfernen, da er die üblichen Verteidigungsmechanismen des Systems sowie den BIOS umgeht.
Wie schützt man sich vor LogoFail?
Der effektivste Schutz vor LogoFail wird ein BIOS-Update beinhalten. Mehrere BIOS-Hersteller, darunter AMI, Intel, Insyde, Phoenix und Lenovo haben bereits Updates angekündigt. Diese dürften allerdings frühestens Anfang 2024 ankommen. Nutzer können sich über die offiziellen Webseiten ihrer Mainboard-Hersteller über geplante Maßnahmen zu BIOS-Updates informieren.
Bis dahin sollten Nutzer sicherstellen, dass niemand physischen Zugriff auf das Gerät erhält. Zudem empfiehlt es sich, das Betriebssystem, installierte Programme und insbesondere den Virenschutz aktuell zu halten. Zwar können diese nicht vor LogoFail schützen, jedoch können sie verhindern, dass Malware durch LogoFail in das System geladen wird.
