O relógio está marcando para Windows e Linux usuários atualizem chaves criptográficas que protegem seus sistemas contra ataques baseados em firmware. Infecções UEFIuma forma perniciosa de malware que é carregada antes do sistema operacional e das proteções antimalware serem iniciadas.
A partir de 24 de junho, três certificados que verificam criptograficamente se cada parte do firmware e software carregado durante a inicialização do sistema expirarão. Os certificados assinados pela Microsoft são os pilares do Secure Boot, uma cadeia de confiança projetada pela Microsoft. A Inicialização Segura verifica as assinaturas digitais de todo o firmware carregado durante a inicialização do sistema para garantir que seja originário de um fornecedor confiável, como o fabricante da placa-mãe em que o sistema é executado.
A inicialização segura foi projetada para impedir bootkits UEFI, uma forma de malware que altera a interface de firmware extensível unificada, a sucessora do BIOS, sendo que ambos iniciam a sequência de inicialização inicial. Como esses bootkits são carregados antes do sistema operacional e da maioria dos outros códigos, eles podem ser difíceis de detectar. Uma vez instalados, eles normalmente carregam malware no sistema operacional que rouba credenciais, faz backdoors no sistema ou executa outras ações maliciosas. Mesmo quando o sistema operacional é desinfetado, o bootkit pode reinfectar o sistema. Os bootkits também sobrevivem às reinstalações do sistema operacional.
Uma breve história dos bootkits
A gênese dos bootkits remonta ao início da década de 1980 com a criação do vários pedaços de malware que tinha como alvo máquinas Apple II durante o processo de inicialização. Eles se espalharam por meio de disquetes que aparentemente continham jogos piratas.
Os bootkits do Windows ganharam notoriedade no início dos anos 2000 como provas de conceito desenvolvidas por pesquisadores de segurança ofensiva. BootRoot, um kit de inicialização demonstrado na conferência de segurança Black Hat de 2005, é provavelmente o primeiro caso desse tipo. O malware infectou a Network Driver Interface, que simplificou as comunicações entre drivers de protocolo de rede, permitindo serviços como drivers de adaptador de rede TCP/IP. Nos anos seguintes, PoCs semelhantes incluíram Vbootkito Kit de botas chapadoe Mebroot. Havia muitos mais.
Em 2012, uma nova forma de bootkit foi demonstrada. Em vez de direcionar as máquinas através do BIOS ou do registro mestre de inicialização, um tal bootkit atacou sistemas Mac OS X infectando o EFI, um pacote de firmware que iniciou o processo de inicialização. UM segundo bootkit muito primitivo direcionado a máquinas Windows 8 infectando o Kit de inicialização UEFIo antecessor do UEFI. Por volta de 2013, um pesquisador demonstrou um bootkit UEFI mais avançado para Windows chamado Barco dos sonhos.
O primeiro caso conhecido de ataque no mundo real direcionado à UEFI ocorreu em 2018 com a descoberta de malware apelidado LoJax. Uma versão adaptada de software antirroubo legítimo conhecido como LoJack, foi criada pelo grupo de hackers apoiado pelo Kremlin e rastreado sob nomes como Sednit, Fancy Bear e APT 28. O malware foi instalado remotamente usando ferramentas de malware que podem ler e substituir partes da memória flash do firmware UEFI.
Em 2020, os pesquisadores descobriram o segundo caso conhecido de malware do mundo real atacando a UEFI. Cada vez que um dispositivo infectado era reiniciado, seu UEFI verificava se um arquivo malicioso estava presente na pasta de inicialização do Windows e, caso contrário, instalava-o. Pesquisadores da Kaspersky, o provedor de segurança que descobriu o malware, chamaram-no de “MosaicRegressor.” Os pesquisadores ainda não determinaram como os UEFIs comprometidos foram infectados. Desde então, vários novos bootkits UEFI surgiram. Eles são rastreados sob nomes como ESpecter, FinSpy e MoonBounce.
A necessidade é a mãe da invenção
Em resposta à ameaça mais ameaçadora dos bootkits UEFI, a Microsoft trabalhou com fabricantes de dispositivos para desenvolver o Secure Boot, um padrão para todo o setor que usa assinaturas criptográficas para garantir que cada peça de firmware carregada durante a inicialização seja confiável pelo fabricante do computador. A inicialização segura foi projetada para criar uma cadeia de confiança que impede que invasores substituam o firmware de inicialização pretendido por firmware malicioso. Se um único link na cadeia de inicialização não for reconhecido, o Secure Boot impedirá a inicialização do dispositivo.
Então, em 2023, os pesquisadores descobriram LogoFailuma série de vulnerabilidades críticas encontrou UEFIs inicializando quase todos os sistemas Windows e Linux do mundo. Um bug de análise de imagem no software que apresentava logotipos de fabricantes de hardware durante a inicialização permitiu que invasores ignorassem a inicialização segura e infectassem o UEFI com firmware malicioso.
