Pesquisadores de ciberseguran\u00e7a descobriram um comportamento “semelhante a uma porta dos fundos” nos sistemas da Gigabyte, que permite que o firmware UEFI dos dispositivos execute um execut\u00e1vel do Windows e recupere atualiza\u00e7\u00f5es em um formato n\u00e3o seguro.<\/p>\n
\u00a0<\/p>\n
A empresa de seguran\u00e7a de firmware Eclypsium afirmou ter detectado essa anomalia pela primeira vez em abril de 2023. Desde ent\u00e3o, a Gigabyte reconheceu e solucionou o problema.<\/p>\n
\u00a0<\/p>\n
“A maioria dos firmwares da Gigabyte inclui um execut\u00e1vel bin\u00e1rio nativo do Windows embutido dentro do firmware UEFI”, informou John Loucaides, vice-presidente s\u00eanior de estrat\u00e9gia da Eclypsium, ao The Hacker News.<\/p>\n
\u00a0<\/p>\n
“O execut\u00e1vel do Windows detectado \u00e9 armazenado no disco e executado como parte do processo de inicializa\u00e7\u00e3o do Windows, semelhante ao ataque do agente duplo LoJack. Esse execut\u00e1vel, ent\u00e3o faz download e executa bin\u00e1rios adicionais por meio de m\u00e9todos n\u00e3o seguros.”<\/p>\n
\u00a0<\/p>\n
“Apenas a inten\u00e7\u00e3o do autor pode distinguir esse tipo de vulnerabilidade de uma porta dos fundos maliciosa”, acrescentou Loucaides.<\/p>\n
\u00a0<\/p>\n
Segundo a Eclypsium, o execut\u00e1vel \u00e9 incorporado ao firmware UEFI e gravado no disco pelo firmware como parte do processo de inicializa\u00e7\u00e3o do sistema e posteriormente lan\u00e7ado como um servi\u00e7o de atualiza\u00e7\u00e3o.<\/p>\n
\u00a0<\/p>\n
A aplica\u00e7\u00e3o baseada em .NET, por sua vez, \u00e9 configurada para baixar e executar um payload dos servidores de atualiza\u00e7\u00e3o da Gigabyte por meio do protocolo HTTP simples, expondo assim o processo a ataques de advers\u00e1rios no meio (AitM) atrav\u00e9s de um roteador comprometido.<\/p>\n
\u00a0<\/p>\n
Loucaides informou que o software “parece ter sido destinado como um aplicativo de atualiza\u00e7\u00e3o leg\u00edtima”, observando que o problema potencialmente afeta “cerca de 364 sistemas Gigabyte, com uma estimativa aproximada de 7 milh\u00f5es de dispositivos”.<\/p>\n
\u00a0<\/p>\n
Com os atores de amea\u00e7as sempre procurando maneiras de permanecerem indetect\u00e1veis e deixar o m\u00ednimo de rastros, vulnerabilidades no mecanismo de atualiza\u00e7\u00e3o privilegiada do firmware podem abrir caminho para bootkits UEFI sigilosos e implantes que podem subverter todos os controles de seguran\u00e7a em execu\u00e7\u00e3o no plano do sistema operacional.<\/p>\n
\u00a0<\/p>\n
Para piorar a situa\u00e7\u00e3o, uma vez que o c\u00f3digo UEFI est\u00e1 no pr\u00f3prio hardware da placa-m\u00e3e, o malware injetado no firmware pode persistir mesmo se os discos forem formatados e o sistema operacional for reinstalado.<\/p>\n
\u00a0<\/p>\n
As organiza\u00e7\u00f5es s\u00e3o aconselhadas a aplicar as \u00faltimas atualiza\u00e7\u00f5es de firmware para minimizar os riscos potenciais. Tamb\u00e9m \u00e9 recomendado verificar e desabilitar a fun\u00e7\u00e3o “Download e Instala\u00e7\u00e3o do APP Center” na configura\u00e7\u00e3o do UEFI\/BIOS e definir uma senha de BIOS para evitar altera\u00e7\u00f5es maliciosas.<\/p>\n
\u00a0<\/p>\n
“As atualiza\u00e7\u00f5es de firmware s\u00e3o notoriamente pouco utilizadas pelos usu\u00e1rios finais”, informou Loucaides. “Portanto, \u00e9 f\u00e1cil entender o pensamento de que um aplicativo de atualiza\u00e7\u00e3o no firmware possa ajudar.”<\/p>\n
\u00a0<\/p>\n
“No entanto, a ironia de um aplicativo de atualiza\u00e7\u00e3o altamente inseguro, embutido no firmware para baixar e executar automaticamente um payload, n\u00e3o passa despercebida.”<\/p>\n
\u00a0<\/p>\n
Gigabyte lan\u00e7a firmware para corrigir falha cr\u00edtica<\/strong><\/p>\n \u00a0<\/p>\n A Gigabyte lan\u00e7ou atualiza\u00e7\u00f5es de firmware para corrigir vulnerabilidades de seguran\u00e7a que afetam v\u00e1rias placas-m\u00e3e e que poderiam ser exploradas para instalar malware persistente.<\/p>\n \u00a0<\/p>\n A empresa taiwanesa tamb\u00e9m afirmou que implementou verifica\u00e7\u00f5es de seguran\u00e7a mais rigorosas, incluindo verifica\u00e7\u00e3o de assinatura e limita\u00e7\u00f5es de acesso privilegiado, durante o processo de inicializa\u00e7\u00e3o do sistema operacional, para detectar e prevenir poss\u00edveis atividades maliciosas.<\/p>\n \u00a0<\/p>\n O problema decorre da maneira como as placas-m\u00e3e da Gigabyte utilizam um recurso leg\u00edtimo chamado Windows Platform Binary Table (WPBT) para instalar automaticamente um aplicativo de atualiza\u00e7\u00e3o no sistema operacional.<\/p>\n \u00a0<\/p>\n “O WPBT permite que fornecedores e OEMs executem um programa .exe na camada UEFI”, observa a Microsoft em sua documenta\u00e7\u00e3o. “Toda vez que o Windows \u00e9 iniciado, ele verifica o UEFI e executa o .exe. \u00c9 usado para executar programas que n\u00e3o est\u00e3o inclu\u00eddos na m\u00eddia do Windows.”<\/p>\n \u00a0<\/p>\n As falhas identificadas pela Eclypsium significavam que o processo poderia ser explorado por um ator malicioso para entregar uma vers\u00e3o adulterada do execut\u00e1vel por meio de um ataque de advers\u00e1rio no meio (AitM).<\/p>\n \u00a0<\/p>\n