Pesquisadores de cibersegurança encontraram comportamento parecido com backdoor em sistemas da Gigabyte, que permite que o firmware UEFI dos dispositivos deixe um executável do Windows e recupere atualizações em um formato inseguro.
A empresa de segurança de firmware Eclypsium disse que detectou a anomalia em abril de 2023 e desde então a Gigabyte reconheceu e abordou o problema.
"A maioria dos firmwares da Gigabyte inclui um executável binário nativo do Windows incorporado no firmware UEFI", disse John Loucaides, vice-presidente sênior de estratégia da Eclypsium, ao The Hacker News.
"O executável do Windows detectado é salvo no disco e executado como parte do processo de inicialização do Windows, semelhante ao ataque de agente duplo LoJack.
Este executável, então, faz o download e executa binários adicionais por meio de métodos inseguros." "A intenção do autor é a única coisa que diferencia esta vulnerabilidade de um backdoor malicioso", acrescentou Loucaides.
O executável, segundo a Eclypsium, é incorporado ao firmware UEFI e gravado no disco pelo firmware como parte do processo de inicialização do sistema e, posteriormente, lançado como um serviço de atualização.
A aplicação baseada em .NET, por sua vez, é configurada para baixar e executar um payload dos servidores de atualização da Gigabyte via HTTP simples, expondo assim o processo a ataques de adversários no meio (AitM) através de um roteador comprometido.
Loucaides disse que o software "parece ter sido destinado como um aplicativo de atualização legítimo", observando que o problema potencialmente afeta "cerca de 364 sistemas da Gigabyte com uma estimativa aproximada de 7 milhões de dispositivos".
Com os atores de ameaças constantemente procurando maneiras de permanecerem indetectáveis e deixarem uma pegada de intrusão mínima, vulnerabilidades no mecanismo de atualização de firmware privilegiado podem pavimentar o caminho para bootkits UEFI furtivos e implantes que podem subverter todos os controles de segurança em execução no plano do sistema operacional.
Além disso, como o código UEFI reside na placa-mãe, o malware injetado no firmware pode persistir mesmo que as unidades sejam apagadas e o sistema operacional seja reinstalado.
As organizações são aconselhadas a aplicar as últimas atualizações de firmware para minimizar os riscos potenciais.
Também é aconselhável inspecionar e desativar o recurso "APP Center Download & Install" no UEFI/BIOS Setup e definir uma senha do BIOS para dissuadir alterações maliciosas.
"As atualizações de firmware têm uma adoção notoriamente baixa pelos usuários finais", disse Loucaides.
"Portanto, é fácil entender que um aplicativo de atualização no firmware possa ajudar." "No entanto, a ironia de um aplicativo de atualização altamente inseguro, incorporado ao firmware para baixar e executar automaticamente um payload, não é perdida."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...