Nos últimos anos, o mundo viu ameaças de ransomware avançar de dentro de navegadores para sistemas operacionais, para o bootloader, e agora para o firmware de baixo nível que alimenta os componentes de hardware de um computador.
No início deste ano, uma equipe de pesquisadores do fornecedor de segurança Cylance demonstrou um programa de ransomware de prova de conceito que funcionava dentro da Unified Extensible Firmware Interface (UEFI) da motherboard - o BIOS moderno.
No dia 31 de março de 2017, na conferência de segurança Black Hat Asia, a equipe revelou como eles fizeram isso: explorando vulnerabilidades no firmware de dois modelos de PCs ultracompactos do fabricante de computadores taiwanês Gigabyte Technology.
As duas vulnerabilidades afetam os modelos GB-BSi7H-6500 e GB-BXi7-5775 da plataforma Mini-PC Barebone (BRIX) da Gigabyte. Eles permitem que um invasor com acesso ao SO eleve seus privilégios e execute códigos maliciosos no Modo de Gerenciamento do Sistema (SMM), um modo de operação especial da CPU que permite a execução de softwares de baixo nível.
As vulnerabilidades da UEFI não são novas e os pesquisadores apresentaram tais falhas ao longo dos anos em conferências de segurança. Eles são valiosos para os invasores porque eles podem ser usados para instalar malware altamente persistente que pode reinfectar um sistema operacional mesmo depois que ele é completamente limpo e reinstalado.
Os rootkits da UEFI - código malicioso destinado a esconder outros malwares e suas atividades são perfeitos para operações de cyberespionagem ou de vigilância. A fuga de dados de 2015 da fabricante italiana de software de vigilância Hacking Team revelou que a empresa estava oferecendo um rootkit UEFI para seus clientes policiais e governamentais.
Leia também: Como criar dual boot com Windows no Mac.
Documentos divulgados recentemente pela WikiLeaks sobre as cibercapacidades da US CIA revelaram que a agência supostamente tem "implantes" UEFI para computadores Mac.
No entanto, em vez de demonstrar um rootkit, os pesquisadores da Cylance escolheram mostrar que o ransomware também pode se beneficiar da posição de alto privilégio e da persistência da UEFI.
Descobrir que o código mal-intencionado é realmente instalado dentro do firmware de baixo nível de um computador é difícil de começar, e removê-lo também pode ser complicado porque exige uma reinstalação limpa de imagem UEFI.
A Gigabyte planeja lançar uma atualização de firmware para o GB-BSi7H-6500 este mês para resolver as vulnerabilidades, mas não irá corrigir o GB-BXi7-5775 porque esse modelo chegou ao fim da vida, disse o Centro de Coordenação CERT da Carnegie Mellon University.
Em resposta às recentes revelações da CIA, a Intel Security lançou uma ferramenta que pode ajudar os administradores de redes a verificar se o firmware tem algum código malicioso.
Um fator limitante para as vulnerabilidades da UEFI é que eles raramente trabalham para um grande número de computadores. Isso ocorre porque existem vários fornecedores de firmware / BIOS no mundo que fornecem suas implementações de referência UEFI aos fabricantes de computadores, que depois os personaliza, adicionando seu próprio código.
Isso significa que há muita fragmentação no firmware de computadores modernos e uma vulnerabilidade na UEFI de uma placa-mãe de um fabricante não é garantida para trabalhar em produtos de outros fornecedores ou do mesmo fornecedor.
