Bootkitty e LogoFAIL: nuovo livello di minaccia ai sistemi Linux UEFI

Bootkitty, il primo bootkit UEFI in grado di infettare il kernel Linux, è stato scoperto e analizzato da Binarly e ESET. Questo malware utilizza una vulnerabilità nota come LogoFAIL (CVE-2023-40238), che consente l’esecuzione di codice malevolo durante il processo di boot attraverso file BMP manipolati.

LogoFAIL: il punto di accesso

LogoFAIL è una vulnerabilità nella gestione delle immagini BMP all’interno del firmware UEFI, individuata in molti dispositivi Acer, HP, Fujitsu e Lenovo. Attraverso questa falla, gli attaccanti possono:

• Eseguire shellcode integrato nei file BMP, che manipola variabili come MokList per aggirare il Secure Boot.
• Iniettare certificati malevoli per permettere al bootkit di passare i controlli di verifica, rendendo l’attacco invisibile al sistema.
• Compromettere l’integrità del firmware UEFI e del sistema operativo.

Bootkitty: innovazione malevola nel panorama Linux

Bootkitty rappresenta un’evoluzione significativa rispetto ai precedenti bootkit, come BlackLotus e MoonBounce, che si concentravano sui sistemi Windows. Questo malware include:

• Tecniche avanzate di persistenza: altera il processo di boot per garantire che il malware rimanga attivo anche dopo il riavvio.
• Target specifici: sfrutta configurazioni Linux Ubuntu vulnerabili, in particolare dispositivi basati su firmware Insyde.

Analisi tecnica di Bootkitty

Binarly ha identificato un exploit che utilizza un file BMP da 16 MB denominato logofail.bmp. Al suo interno, un NOP sled (sequenza di istruzioni inutili) precede il codice malevolo che modifica variabili critiche durante il boot. Questo codice consente al malware di passare inosservato, persino nei sistemi che implementano meccanismi di sicurezza avanzati come Secure Boot.

Implicazioni e dispositivi vulnerabili

Secondo l’analisi di Binarly, il malware Bootkitty colpisce firmware distribuiti da marchi come Acer, HP, Fujitsu e Lenovo. Sono stati identificati oltre 10 modelli di dispositivi Lenovo che rimangono vulnerabili, nonostante siano state rilasciate patch per molti altri modelli.

• Dispositivi non aggiornati o privi delle patch Insyde rimangono a rischio.
• Bootkitty sfrutta vulnerabilità specifiche per attivare il codice malevolo attraverso la manipolazione della variabile MokList, fondamentale per il processo Secure Boot.

Come agisce Bootkitty

1. Preparazione dell’ambiente: il file BMP manipolato sfrutta LogoFAIL per scrivere codice arbitrario nel firmware.
2. Esecuzione del codice malevolo: il malware modifica le variabili di verifica del Secure Boot, garantendo che il bootkit passi i controlli di sicurezza.
3. Persistenza: dopo l’infezione, il malware sostituisce loghi e certificati di sistema per mantenere il controllo senza essere rilevato.

Soluzioni e misure preventive

Insyde Software ha rilasciato una patch per mitigare LogoFAIL, che include controlli avanzati sulle dimensioni e i parametri dei file BMP durante il boot. Tuttavia, molti dispositivi rimangono non aggiornati o vulnerabili.

• Utenti e aziende devono:
  • Aggiornare i dispositivi con le ultime versioni di firmware.
  • Verificare che il Secure Boot sia correttamente configurato e abilitato.
  • Monitorare il firmware tramite piattaforme come il Binarly Transparency Platform, che offre rilevamento avanzato delle minacce firmware.

Bootkitty rappresenta un nuovo tipo di minaccia che si estende ai sistemi Linux, evidenziando l’importanza di una sicurezza firmware robusta. L’uso di LogoFAIL dimostra come vulnerabilità apparentemente semplici possano essere sfruttate per sviluppare attacchi complessi e mirati. Le aziende devono investire in soluzioni avanzate e garantire aggiornamenti regolari per proteggere i loro dispositivi.