Säkerhetsforskare på Binarly har hittat en allvarlig sårbarhet i BIOS på nästan alla vanliga PC-datorer, rapporterar Ars Technica. Bristen har fått namnet Logofail och får sitt namn av hur attacken går till: En hackare eller ett skadeprogram skriver över loggan som visas under uppstart, vilket kan leda till att godtycklig kod körs innan operativsystemet har laddat.
Det har tagit utvecklarna på Binarly merparten av ett år att gå från teori till praktik med en fungerande attack, men hotet är allvarligt: Logofail kringgår Secure Boot och andra säkerhetssystem som ska skydda datorn och operativsystemet. Nästan hela PC-industrin har koordinerat sina svar kring presentationen av upptäckten, som gjordes av Binarly på Black Hat-konferensen i London.
Många buggar
Forskarna har hittat ett tiotal olika buggar i koden som läser in BIOS-loggorna från moderkortstillverkare, i BIOS-koden från alla tre stora tillverkare av UEFI-BIOS-kretsar: AMI, Insyde och Phoenix. Genom att placera kod i en bildfil och skriva över den existerande bilden i BIOS (vilket de flesta moderkorts- och datortillverkare tillåter) kan de här buggarna utnyttjas för att köra kod under den del av uppstarten som kallas DXE, vilket ger fullständig kontroll över både arbetsminne och lagring.
Koden som körs i DXE kan injicera ytterligare skadlig kod direkt i operativsystemet och kringgå eventuella säkerhetsfunktioner som ska skydda systemet, som Secure Boot och Intel Boot Guard.
Logofail fungerar inte på datorer där det inte går att byta BIOS-logga, till exempel från Dell och Intel-baserade Mac-datorer från Apple. För alla andra krävs en BIOS-uppdatering från tillverkaren för att säkra datorn från attacken.
