O BootKitty, um bootkit UEFI recentemente descoberto, aproveita a vulnerabilidade LogoFAIL, identificada como CVE-2023-40238, para comprometer sistemas Linux em máquinas com firmware afetado. A falha, que foi inicialmente revelada pela Binarly em novembro de 2023, permite que invasores executem cargas maliciosas durante a inicialização, desativando recursos de segurança como o Secure Boot.
O que é LogoFAIL?
LogoFAIL é uma falha no código de análise de imagens UEFI, encontrado em sistemas de diferentes fabricantes, que pode ser explorada através de imagens ou logotipos maliciosos inseridos na Partição do Sistema EFI (ESP). Esses logotipos são processados durante a inicialização do sistema, e a vulnerabilidade permite que o invasor execute um código malicioso, comprometendo o fluxo de execução e ignorando mecanismos de segurança como o Secure Boot.
Como o BootKitty funciona
Descoberto pela ESET, o BootKitty é o primeiro bootkit UEFI a visar especificamente o Linux. Embora ainda esteja em estágio de desenvolvimento, esse malware tem como alvo versões específicas do Ubuntu. O BootKitty explora a falha LogoFAIL ao injetar shellcode em arquivos BMP, como ‘logofail.bmp’, que, ao serem processados, acionam a vulnerabilidade. Isso permite que o malware contorne as proteções de inicialização segura e adicione certificações falsas à MokList.
Após o ataque inicial, o malware substitui o certificado legítimo por um falso, permitindo a execução de um bootloader comprometido. O BootKitty então reverte as modificações para evitar detecção, apagando quaisquer vestígios óbvios da intrusão.
Notícias Relacionadas
Impacto em Dispositivos
A Binarly alertou que o BootKitty pode afetar qualquer dispositivo com firmware vulnerável à falha LogoFAIL. Contudo, a versão atual do código malicioso foi projetada especificamente para computadores Acer, HP, Fujitsu e Lenovo, sendo mais notável em dispositivos da Lenovo, especialmente os baseados em Insyde, como os modelos IdeaPad e Legion.
A falha LogoFAIL, apesar dos alertas emitidos há mais de um ano, ainda afeta muitos dispositivos, tornando-os suscetíveis a ataques como o do BootKitty. Para proteger dispositivos contra esse tipo de ameaça, é essencial aplicar as correções de segurança fornecidas pelos fabricantes.
Medidas de Prevenção
Para minimizar os riscos de exploração da vulnerabilidade LogoFAIL, é recomendado tomar algumas precauções. Isso inclui limitar o acesso físico aos dispositivos, ativar o Secure Boot, proteger a BIOS/UEFI com senha, desativar a inicialização a partir de mídias externas e garantir que as atualizações de firmware sejam obtidas apenas de fontes oficiais.
Conclusão
O BootKitty serve como um lembrete das graves consequências que podem surgir quando falhas de segurança, como a LogoFAIL, não são corrigidas. A exploração bem-sucedida dessa vulnerabilidade sublinha a importância de atualizações de firmware regulares e práticas adequadas de segurança em dispositivos modernos.
