Pesquisadores de cibersegurança descobriram um comportamento “semelhante a uma porta dos fundos” nos sistemas da Gigabyte, que permite que o firmware UEFI dos dispositivos execute um executável do Windows e recupere atualizações em um formato não seguro.
A empresa de segurança de firmware Eclypsium afirmou ter detectado essa anomalia pela primeira vez em abril de 2023. Desde então, a Gigabyte reconheceu e solucionou o problema.
“A maioria dos firmwares da Gigabyte inclui um executável binário nativo do Windows embutido dentro do firmware UEFI”, informou John Loucaides, vice-presidente sênior de estratégia da Eclypsium, ao The Hacker News.
“O executável do Windows detectado é armazenado no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque do agente duplo LoJack. Esse executável, então faz download e executa binários adicionais por meio de métodos não seguros.”
“Apenas a intenção do autor pode distinguir esse tipo de vulnerabilidade de uma porta dos fundos maliciosa”, acrescentou Loucaides.
Segundo a Eclypsium, o executável é incorporado ao firmware UEFI e gravado no disco pelo firmware como parte do processo de inicialização do sistema e posteriormente lançado como um serviço de atualização.
A aplicação baseada em .NET, por sua vez, é configurada para baixar e executar um payload dos servidores de atualização da Gigabyte por meio do protocolo HTTP simples, expondo assim o processo a ataques de adversários no meio (AitM) através de um roteador comprometido.
Loucaides informou que o software “parece ter sido destinado como um aplicativo de atualização legítima”, observando que o problema potencialmente afeta “cerca de 364 sistemas Gigabyte, com uma estimativa aproximada de 7 milhões de dispositivos”.
Com os atores de ameaças sempre procurando maneiras de permanecerem indetectáveis e deixar o mínimo de rastros, vulnerabilidades no mecanismo de atualização privilegiada do firmware podem abrir caminho para bootkits UEFI sigilosos e implantes que podem subverter todos os controles de segurança em execução no plano do sistema operacional.
Para piorar a situação, uma vez que o código UEFI está no próprio hardware da placa-mãe, o malware injetado no firmware pode persistir mesmo se os discos forem formatados e o sistema operacional for reinstalado.
As organizações são aconselhadas a aplicar as últimas atualizações de firmware para minimizar os riscos potenciais. Também é recomendado verificar e desabilitar a função “Download e Instalação do APP Center” na configuração do UEFI/BIOS e definir uma senha de BIOS para evitar alterações maliciosas.
“As atualizações de firmware são notoriamente pouco utilizadas pelos usuários finais”, informou Loucaides. “Portanto, é fácil entender o pensamento de que um aplicativo de atualização no firmware possa ajudar.”
“No entanto, a ironia de um aplicativo de atualização altamente inseguro, embutido no firmware para baixar e executar automaticamente um payload, não passa despercebida.”
Gigabyte lança firmware para corrigir falha crítica
A Gigabyte lançou atualizações de firmware para corrigir vulnerabilidades de segurança que afetam várias placas-mãe e que poderiam ser exploradas para instalar malware persistente.
A empresa taiwanesa também afirmou que implementou verificações de segurança mais rigorosas, incluindo verificação de assinatura e limitações de acesso privilegiado, durante o processo de inicialização do sistema operacional, para detectar e prevenir possíveis atividades maliciosas.
O problema decorre da maneira como as placas-mãe da Gigabyte utilizam um recurso legítimo chamado Windows Platform Binary Table (WPBT) para instalar automaticamente um aplicativo de atualização no sistema operacional.
“O WPBT permite que fornecedores e OEMs executem um programa .exe na camada UEFI”, observa a Microsoft em sua documentação. “Toda vez que o Windows é iniciado, ele verifica o UEFI e executa o .exe. É usado para executar programas que não estão incluídos na mídia do Windows.”
As falhas identificadas pela Eclypsium significavam que o processo poderia ser explorado por um ator malicioso para entregar uma versão adulterada do executável por meio de um ataque de adversário no meio (AitM).
Fonte: https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html
