Falhas de segurança no firmware do seu computador, o código profundamente enraizado que é carregado primeiro quando você liga a máquina e controla até mesmo como seu sistema operacional é iniciado, há muito são um alvo para hackers em busca de um ponto de apoio discreto.
Mas raramente essa espécie de vulnerabilidade aparece não no firmware de um fabricante de computadores específico, mas nos chips encontrados em centenas de milhões de PCs e servidores.
Agora, pesquisadores de segurança descobriram uma falha que persistiu nos processadores da AMD por décadas, e que permitiria ao malware se aprofundar tanto na memória de um computador que, em muitos casos, pode ser mais fácil descartar a máquina do que desinfetá-la.
Na conferência de hackers Defcon amanhã, Enrique Nissim e Krzysztof Okupski, pesquisadores da firma de segurança IOActive, planejam apresentar uma vulnerabilidade nos chips da AMD que eles chamaram de Sinkclose.
A falha permitiria aos hackers executar seu próprio código em um dos modos mais privilegiados de um processador da AMD, conhecido como System Management Mode, projetado para ser reservado apenas para uma parte específica e protegida de seu firmware.
Os pesquisadores da IOActive alertam que ela afeta praticamente todos os chips da AMD datados de 2006, ou possivelmente até antes.
Nissim e Okupski observam que explorar a falha exigiria que os hackers já tivessem obtido um acesso relativamente profundo a um PC ou servidor baseado em AMD, mas que a falha Sinkclose permitiria então a eles plantar seu código malicioso muito mais fundo ainda.
De fato, para qualquer máquina com um dos chips AMD vulneráveis, os pesquisadores da IOActive alertam que um atacante poderia infectar o computador com malware conhecido como "bootkit", que evita ferramentas antivírus e é potencialmente invisível ao sistema operacional, oferecendo a um hacker acesso total para adulterar a máquina e monitorar sua atividade.
Para sistemas com certas configurações defeituosas em como o fabricante do computador implementou o recurso de segurança da AMD conhecido como Platform Secure Boot - que os pesquisadores alertam abranger a grande maioria dos sistemas que testaram - uma infecção por malware instalada via Sinkclose poderia ser ainda mais difícil de detectar ou remediar, dizem eles, sobrevivendo até mesmo à reinstalação do sistema operacional.
“Imagine hackers de estados-nação ou quem quer que deseje persistir em seu sistema. Mesmo que você limpe seu disco, ainda vai estar lá,” diz Okupski.
Vai ser praticamente indetectável e quase impossível de corrigir. Somente abrindo a caixa do computador, conectando-se fisicamente diretamente a uma certa parte de seus chips de memória com uma ferramenta de programação baseada em hardware conhecida como SPI Flash programmer e examinando meticulosamente a memória seria possível remover o malware, diz Okupski.
Nissim resume esse cenário de pior caso em termos mais práticos: “Basicamente, você tem que jogar seu computador fora.”
Em uma declaração compartilhada, a AMD reconheceu as descobertas da IOActive, agradeceu aos pesquisadores por seu trabalho e observou que “lançou opções de mitigação para seus produtos AMD EPYC para datacenters e produtos AMD Ryzen para PCs, com mitigação para produtos AMD embutidos chegando em breve.” (O termo “embutido”, neste caso, refere-se a chips da AMD encontrados em sistemas como dispositivos industriais e carros.) Para seus processadores EPYC projetados para uso em servidores de datacenters, especificamente, a empresa observou que lançou patches no início deste ano.
A AMD recusou-se a responder perguntas antecipadamente sobre como pretende corrigir a vulnerabilidade Sinkclose, ou para exatamente quais dispositivos e quando, mas apontou para uma lista completa de produtos afetados que pode ser encontrada na página de boletim de segurança de seu site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...