A Eclypsium, uma empresa de segurança sediada nos EUA, publicou em seu blog um alerta afirmando que “milhares” de PCs, com Windows e Linux, estão vulneráveis a ataques via firmware que podem ser usados para extrair dados, entregar ransomware ou interromper a operação de um sistema.

Firmware é o código básico que controla o funcionamento de periféricos como interfaces de rede, hubs USB, trackpads e câmeras, entre outros. Ele é geralmente armazenado em um chip junto ao periférico e roda de forma independente do sistema operacional, fazendo a “ponte” entre os dois.

Este código pode ser gravado em um chip apenas para leitura (ROM), ou então em uma memória Flash, que pode ser atualizada com um utilitário fornecido pelo fabricante. A vulnerabilidade, segundo a Eclypsium, está justamente neste processo de atualização: muitos dispositivos não verificam a assinatura digital e a integridade do firmware antes de atualizá-lo, o que abre as portas para que uma versão modificada e contendo código malicioso possa “tomar conta” do periférico.

Um firmware modificado poderia ser usado para captar imagens de uma webcam periodicamente, interceptar pacotes de dados em uma rede ou mesmo como porta de entrada para um ataque ao sistema operacional. Se o ataque for bem planejado, tudo isso pode ser feito sem levantar a suspeita do usuário, já que o firmware roda em segundo plano e não haverá nenhum processo ou aplicativo estranho rodando no sistema operacional.

Sistemas vulneráveis

A Eclypsium fornece alguns exemplos de sistemas vulneráveis a este tipo de ataque. A sexta geração de notebooks Lenovo ThinkPad X1 Carbon usa um touchpad da Synaptics, que não verifica a assinatura digitaal do firmware antes que ele seja instalado. Para piorar a situação, segundo a Lenovo, não há uma forma de corrigir o problema na geração atual do produto.

Outro exemplo de dispositivo que aceita firmware não-assinado são as câmeras HP Wide Vision FHD, produzidas pela SunplusIT e usadas em máquinas como o conversível HP Spectre x360, modelo 13-ap0xxx. A ferramenta de atualização aceita firmware modificado para alterar a “descrição” do dispositivo USB, o que pode ser usado para desativá-lo ou então fazer com que seja identificado pelo sistema operacional como um outro dispositivo.

Além disso, mesmo um usuário normal pode executar a ferramenta e atualizar o firmware, quando isso deveria ser exclusividade de um administrador do sistema. A HP informou à Eclypsium que já lançou uma atualização do firmware com melhores medidas de segurança, e que futuras gerações de seus produtos usarão firmware assinado.

A interface Wi-Fi Killer Wireless-n/a/ac 1535, usada no notebook Dell XPS 15 9560, também é vulnerável. O firmware da interface é carregado pelo driver no momento da inicialização do computador, e embora o sistema operacional da máquina, o Windows 10, verifique a assinatura dos drivers, um driver com uma assinatura inválida ainda pode ser carregado, enviando firmware modificado para a interface.

Segundo a Eclypsium, o problema não é restrito ao Windows. Vários dispositivos com drivers para Linux também aceitam firmware não assinado, como HUBs USB.

Exemplo de ataque ao firmware de uma interface de rede, para espionar o tráfego

Vale mencionar que a Eclypsium trabalha com “segurança de firmware” para sistemas corporativos, então é óbvio que a empresa tem um interesse comercial em alardear o problema. Entretanto, a ameaça é real. Infelizmente, para os usuários, pouco pode ser feito para se proteger além de manter os drivers e sistema operacional atualizados e usar um bom pacote anti-vírus, para evitar que malware tente modificar o firmware de algum periférico conectado à máquina.

Fonte: Eclypsium