Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Aug 17, 2023
CISA: Cuidado com o carregador de inicialização malicioso
ATUALIZADO 11:55 EDT / 07 DE AGOSTO DE 2023 por David Strom A Agência de Segurança Cibernética e de Infraestrutura dos EUA emitiu um apelo à ação para reforçar a segurança de uma peça pouco conhecida, mas importante, de
ATUALIZADO 11:55 EDT / 07 DE AGOSTO DE 2023
por David Strom
A Agência de Segurança Cibernética e de Infraestrutura dos EUA emitiu um apelo à ação para reforçar a segurança de um software pouco conhecido, mas importante, que pode ser encontrado em todos os computadores.
Chamada de Unified Extensible Firmware Interface ou UEFI, ela é executada no momento da inicialização e controla a operação do computador, carrega drivers de dispositivos e controles de interface de gerenciamento de energia e outras interfaces de aplicativos. A CISA disse em 3 de agosto que está preocupada que muitos invasores tenham se concentrado na UEFI para comprometer um sistema e inserir malware para controlar suas operações e evitar a detecção.
Um exemplo disso são as explorações do BlackLotus, que foram documentadas mais recentemente pela Microsoft Security em abril e pela Agência de Segurança Nacional dos EUA em maio. O documento incluía maneiras de identificar pistas de que um malware baseado em UEFI está presente, como uma data recente de arquivo do carregador de inicialização ou entrada de log, chaves de registro do Windows modificadas (foto abaixo) ou comportamento específico da rede.
Esses ataques baseados em UEFI são mais insidiosos porque podem ativar ou desativar todos os tipos de mecanismos de segurança do sistema operacional antes de serem realmente carregados pelo sistema operacional. Para não ajudar, o UEFI agora é encontrado em centenas de milhões de computadores.
O alerta da CISA foi um tanto pessimista, dizendo que os pesquisadores e desenvolvedores de segurança cibernética “ainda estão em modo de aprendizagem” sobre como responder aos ataques UEFI e como proteger melhor este software específico. “UEFI é o padrão de software dominante para gerenciar o maquinário de computação física do qual todo o resto depende”, afirma em seu blog. E o seu compromisso continua a ser um problema.
O malware UEFI também é um problema porque pode persistir após uma reinicialização do sistema, uma reinstalação do sistema operacional ou até mesmo a substituição de um componente físico específico no computador. Por exemplo, o BlackLotus coloca um carregador de inicialização do Windows mais antigo, desativa o recurso de integridade de memória, desativa o BitLocker e reverte um patch de segurança recente para uma versão mais vulnerável.
São muitas coisas ruins para tentar remediar, e é uma das razões pelas quais a CISA recomenda que qualquer PC infectado seja destruído em vez de reparado. É também uma das razões pelas quais os ataques UEFI são alvos valiosos: um invasor pode obter sigilo e operar por longos períodos de tempo sem ter que se preocupar com a reinicialização do sistema ou com um patch do sistema.
Ao longo dos anos, os desenvolvedores de UEFI desenvolveram medidas defensivas para impedir infecções por malware, e a postagem no blog da CISA menciona duas: usar princípios de segurança desde o design e empregar medidas de resposta a incidentes mais maduras. No entanto, estes não são implementados universalmente.
O desenvolvedor UEFI AMI propôs uma maneira de evitar essa reversão de patch mencionada acima no outono passado, mas tem implantação irregular. Existem também arquiteturas de chips de referência que incluem esquemas rigorosos de gerenciamento de memória, mas os pesquisadores afirmam que esses esquemas ainda precisam ser pesquisados e verificados. Existem outros esforços para estabelecer enclaves de hardware seguros, mas nenhum desses esforços estende a segurança aos processos UEFI de forma significativa.
Parte do problema é que a cadeia de fornecimento da UEFI é uma rede complexa de desenvolvedores e dependências. Um PC típico pode ter mais de 50 módulos UEFI diferentes e centenas de drivers de dispositivos provenientes de dezenas de fornecedores de software que possuem sua própria coleção de desenvolvedores diferentes.
Toda essa complexidade torna difícil rastrear as versões atuais do software e determinar se algo foi comprometido por malfeitores. Para piorar a situação, espera-se que partes da UEFI “também aceitem informações não confiáveis do usuário ou da rede”.
As diretrizes da Microsoft e da NSA contêm recomendações sobre como as empresas podem se proteger melhor, incluindo a atualização de todas as mídias de recuperação do Windows e a atualização de vários patches do sistema operacional. E Vijay Sarvepalli, do Instituto de Engenharia de Software da Universidade Carnegie Mellon, escreveu um artigo descrevendo o problema UEFI em detalhes, juntamente com uma longa lista de melhorias no desenvolvedor e no processo de segurança.