A inicialização segura geralmente impede UEFI não executará todos os arquivos a seguir, a menos que tenham uma assinatura digital confirmando que o fabricante do dispositivo confia nesses arquivos. A exploração contorna essa proteção injetando shellcode oculto em uma imagem bitmap maliciosa exibida pela UEFI durante o processo de inicialização. O código inserido instala uma chave criptográfica que assina digitalmente o código malicioso GRUB junto com uma imagem backdoor do kernel Linux, ambos executados nos estágios posteriores do processo de inicialização em máquinas Linux.
A instalação dessa chave força silenciosamente a UEFI a tratar o GRUB malicioso e a imagem do kernel como componentes confiáveis e ignorar a proteção de inicialização segura. O resultado final é um backdoor que entra no kernel do Linux antes que outras medidas de segurança sejam carregadas.
Diagrama que ilustra o fluxo de execução binária da exploração LogoFAIL encontrada em estado selvagem.
Crédito: Binário
Em uma entrevista online, HD Moore, CTO e cofundador da RunZero e especialista em malware baseado em firmware, explicou o relatório Binarly da seguinte forma:
O artigo da Binarly refere-se a alguém que usa o bug logoFAIL para configurar uma carga útil UEFI que ignora a inicialização segura (firmware), enganando o firmware em sua chave autoassinada (que é então armazenada no firmware como uma variável MOK). O código malicioso ainda está limitado ao lado do usuário da UEFI, mas a exploração do LogoFAIL permite que eles adicionem sua própria chave de assinatura à lista de permissões do firmware (mas não infectem o firmware de outra forma).
Ainda é essencialmente um backdoor de kernel baseado em GRUB versus um backdoor de firmware, mas abusa de um bug de firmware (LogoFAIL) para permitir a instalação sem intervenção do usuário (registro, reinicialização e aceitação de uma nova chave de assinatura MOK).
Em uma inicialização segura normal, o administrador gera uma chave local, usa-a para assinar seus pacotes kernel/GRUB atualizados, informa ao firmware para registrar a chave que ele criou e, em seguida, o administrador deve aceitar essa nova chave por meio do console após a reinicialização. (ou remotamente via console de bios bmc/ipmi/ilo/drac/etc).
Com esta configuração, um invasor pode substituir um kernel GRUB + em bom estado por uma versão backdoor registrando sua chave de assinatura sem intervenção do usuário por meio do exploit LogoFAIL, mas ainda é na verdade um gerenciador de inicialização baseado em GRUB e não codificado. Firmware do BIOS ou qualquer outra coisa.
As máquinas vulneráveis à exploração incluem alguns modelos vendidos pela Acer, HP, Fujitsu e Lenovo que vêm com UEFI desenvolvido pelo fabricante Insyde e rodam Linux. As evidências encontradas no código de exploração sugerem que a exploração pode ser adaptada para configurações de hardware específicas de tais máquinas. A Insyde lançou um patch no início deste ano que impede a exploração. Os dispositivos desinstalados permanecem vulneráveis. Dispositivos de fabricantes que usam UEFIs não Insyde não são afetados.
