Firmware Backdoor Encontrado em Milhões de Placas-Mãe de PCs
Os cibercriminosos têm empregado cada vez mais uma tática desonesta, ocultando programas maliciosos no firmware UEFI de um computador – o código fundamental responsável pela inicialização do sistema operacional. No entanto, a situação se torna ainda mais alarmante quando um fabricante de placa-mãe não apenas inclui o seu backdoor oculto no firmware de milhões de computadores, mas também falha em proteger essa entrada adequadamente.
Recentemente, uma equipe de pesquisadores de segurança cibernética especializada em firmware descobriu um mecanismo oculto embutido no firmware das placas-mãe fabricadas pelo Gigabyte, uma renomada empresa taiwanesa amplamente utilizada em PCs para jogos e computadores de alto desempenho. Ao reiniciar um computador com a placa-mãe Gigabyte afetada, o código oculto no firmware aciona discretamente um programa atualizador no computador. Posteriormente, este programa baixa e executa outro software sem o conhecimento ou consentimento do usuário.
Índice
Intenções Boas, Implementação nem Tanto
Embora o código oculto descoberto no firmware da placa-mãe Gigabyte seja presumivelmente uma ferramenta inofensiva para atualizações de firmware, os pesquisadores identificaram falhas de segurança significativas em sua implementação. Essas vulnerabilidades criam o risco em potencial de autores mal-intencionados explorarem o mecanismo, e utilizá-lo para instalar malware em vez do programa Gigabyte pretendido.
Para agravar o problema está o fato de que o programa atualizador é iniciado a partir do firmware do computador, operando fora do domínio do sistema operacional do usuário. Isso torna incrivelmente desafiador para os usuários detectar ou remover o código problemático, exacerbando ainda mais o impacto potencial da vulnerabilidade de segurança.
Mais de 270 Modelos Envolvidos
Para ver se a placa-mãe do seu computador contém o backdoor em questão, navegue até “Iniciar” no Windows e acesse “Informações do sistema”.
Ao investigar o código malicioso baseado no firmware, os pesquisadores fizeram uma descoberta significativa sobre o mecanismo de firmware oculto da Gigabyte. Essa descoberta é particularmente notável, pois hackers sofisticados frequentemente empregam táticas semelhantes. Surpreendentemente, as digitalizações de detecção automatizada dos pesquisadores sinalizaram o mecanismo atualizador da Gigabyte executando atividades suspeitas que lembram ferramentas de hacking patrocinadas pelo estado. Especificamente, ele se envolvia em se esconder dentro do firmware e executar silenciosamente um programa que baixa um código da Internet.
O mecanismo atualizador da Gigabyte já despertou preocupações entre os usuários que estão apreensivos com a perspectiva de instalações silenciosas de código por meio de uma ferramenta quase imperceptível. Além disso, existe um medo genuíno de que o mecanismo da Gigabyte possa ser vítima de exploração por hackers que se infiltram no fabricante da placa-mãe, aproveitando seu acesso oculto para um ataque nefasto à cadeia de suprimentos de software. No entanto, a investigação fez uma revelação ainda mais alarmante. O mecanismo de atualização, projetado para aprimorar a experiência do usuário, contém vulnerabilidades gritantes que podem ser exploradas de forma maliciosa. Surpreendentemente, ele baixa o código na máquina do usuário sem passar pela autenticação adequada e, em alguns casos, até utiliza uma conexão HTTP insegura em vez do HTTPS mais seguro.
Essa falha de segurança aberta permite que autores malévolos orquestrem ataques man-in-the-middle, permitindo-lhes enganar usuários desavisados, falsificando a fonte de instalação. Em essência, mesmo uma rede Wi-Fi não autorizada pode se tornar um instrumento perigoso, interceptando a conexão com a Internet do usuário e comprometendo a integridade do sistema.
Em outros casos, o mecanismo de firmware da Gigabyte permite que o atualizador busque downloads de um dispositivo de armazenamento conectado à rede local (NAS). Esse recurso, aparentemente destinado a facilitar as atualizações nas redes comerciais, evita o acesso extensivo à Internet por todas as máquinas. No entanto, quando isso ocorre, um agente mal-intencionado na mesma rede pode manipular enganosamente a localização do NAS, substituindo sub-repticiamente as atualizações autorizadas por seu próprio malware.
Uma Correção pode Funcionar... ou Não?
Apesar dos esforços em potencial da Gigabyte para resolver o problema do firmware, as atualizações de firmware freqüentemente terminam silenciosamente nas máquinas dos usuários devido à natureza complexa do processo e ao desafio de alinhar o firmware com o hardware. Esta revelação é profundamente preocupante, considerando o grande número de dispositivos que podem ser afetados. Embora a Gigabyte provavelmente não tenha intenções maliciosas ou enganosas com sua ferramenta de firmware oculta, as vulnerabilidades de segurança no código oculto sob o sistema operacional minam a confiança fundamental dos usuários nas suas máquinas.