Aqui está como proteger seus computadores contra os ataques de LogoFAIL
Aprenda a proteger seus computadores contra os ataques de LogoFAIL
A equipe de pesquisa do Binarly, uma empresa de plataforma de segurança de cadeia de suprimentos de firmware, descobriu uma constelação de vulnerabilidades de segurança chamada LogoFAIL escondida nas Interfaces Firmware Extensíveis e Unificadas (UEFI) que usamos para inicializar quase todos os dispositivos de computação modernos. Linux ou Windows, ARM ou x86, não importa – todos estão vulneráveis.
Essa ameaça tem estado presente nos sistemas por anos, na verdade, décadas. O que a torna particularmente preocupante é a ampla gama de computadores para consumidores e empresas afetados. O cerne do LogoFAIL é a exploração de logotipos exibidos na tela do dispositivo durante o processo inicial de inicialização, enquanto a UEFI ainda está em execução.
Também: Os melhores serviços de VPN (e como escolher o ideal para você)
Essa exploração ocorre nas fases mais iniciais do processo de inicialização, portanto, os ataques contornam as defesas da UEFI, como o Microsoft Secure Boot e o Intel Secure Boot, que são projetados para bloquear infecções por bootkit. Essa técnica é extremamente preocupante.
Especificamente, o ataque aproveita os analisadores de imagem da UEFI. Existem programas disponíveis que exibem os logotipos de inicialização, para que você possa vê-los. Esse software é incorporado à UEFI pelos principais fornecedores independentes de BIOS (IBVs), como AMI, Insyde e Phoenix.
- Promoção de férias da Dell com descontos em laptops, monitores e mu...
- Encontrei todas as melhores ofertas de laptops gamer para as férias...
- Este laptop para jogos da HP com uma RTX 4060 está com $500 de desc...
A firmware da UEFI pode conter analisadores de imagens em vários formatos, incluindo BMP, GIF, JPEG, PCX e TGA. Ao todo, a equipe do Binarly encontrou 29 problemas de segurança, sendo 15 deles exploráveis para execução de código arbitrário.
Também: Os melhores serviços de VPN para iPhone e iPad (sim, você precisa usar um)
Em resumo, esses analisadores de imagem da UEFI foram mal mantidos e cheios de vulnerabilidades críticas. Os invasores podem substituir imagens de logotipo legítimas por outras semelhantes que foram especialmente criadas para explorar as falhas. Essa técnica permite a execução de código malicioso na fase do Ambiente de Execução de Drivers (DXE), uma parte altamente sensível do processo de inicialização. Esse ataque ocorre antes do sistema operacional ser iniciado.
Conforme afirmaram os pesquisadores da Binarly: “Uma vez que a execução de código arbitrário seja alcançada durante a fase do DXE, é o fim da segurança da plataforma.” A partir desse momento, os invasores têm “controle total sobre a memória e o disco do dispositivo de destino, incluindo o sistema operacional que será iniciado.”
Portanto, uma vez que a execução de código arbitrário seja alcançada durante a fase do DXE, um invasor obtém controle total sobre a memória e o disco do dispositivo de destino, incluindo o sistema operacional que será iniciado. Essa capacidade significa que o LogoFAIL pode entregar uma carga útil de segunda etapa que coloca um executável no disco rígido antes mesmo do sistema operacional principal ser iniciado. Esse nível de acesso torna quase impossível detectar ou remover a infecção usando os mecanismos de defesa atuais.
As vulnerabilidades foram divulgadas na Black Hat Security Conference em Londres, e as partes afetadas estão lançando avisos que revelam quais de seus produtos são vulneráveis e onde obter patches de segurança. O impacto generalizado do LogoFAIL é evidente, pois ele afeta quase todo o ecossistema de CPU x64 e ARM, incluindo fornecedores de UEFI, fabricantes de dispositivos, como Lenovo e HP, e fabricantes de CPUs, como Intel, AMD e designers de CPUs da ARM.
Também: As melhores chaves de segurança de 2023
Mas por que esse ataque é um problema tão grande? Quer dizer, quem quer mudar os logotipos de inicialização em seus computadores? A resposta, segundo o especialista em segurança Bruce Schneier, são as empresas: “Os compradores corporativos querem ter a capacidade de exibir seus próprios logotipos. Portanto, a capacidade precisa estar na BIOS, o que significa que as vulnerabilidades não estão sendo protegidas pelas defesas do sistema operacional. E os fabricantes da BIOS provavelmente pegaram uma biblioteca gráfica aleatória da internet e nunca mais pensaram nisso.”
Agora, algumas boas notícias
Macs, smartphones e outros dispositivos que não usam o UEFI não estão vulneráveis. Mesmo os Macs da Apple com processadores Intel, que usavam o UEFI para inicialização, não podem ser atacados pelo LogoFAIL. Essa proteção ocorre porque a Apple codificou seus arquivos de imagem do logotipo na UEFI e você não pode substituí-los por uma duplicata maliciosa.
A maioria dos computadores Dell também não está vulnerável. Isso ocorre porque a empresa usa o Intel Boot Guard para impossibilitar a substituição das imagens. Além disso, os dispositivos Dell, em geral, não permitem que você troque as imagens do logotipo.
Se você tiver máquinas vulneráveis, primeiro precisa garantir que ninguém possa acessar o dispositivo. Esse nível de proteção significa atualizar seu sistema operacional e programas contra todos os ataques conhecidos. Se você estiver executando o Windows, atualize suas proteções antivírus. Esses programas não podem impedir o LogoFAIL, mas podem impedir que malware carregue o LogoFAIL em seu sistema.
Também: Os melhores VPNs para transmitir seus programas e esportes favoritos
O truque é impedir que os invasores acessem a Partição do Sistema EFI (ESP) em primeiro lugar. Essa parte oculta do seu disco é onde a imagem do logotipo é armazenada. Se os invasores não puderem alcançar o ESP, eles não podem atacá-lo.
A solução real é atualizar o firmware. As correções estão a caminho da AMI, Intel, Insyde, Phoenix e Lenovo. No entanto, elas não serão lançadas rapidamente. Como a Intel afirma: “As atualizações de BIOS serão lançadas no final do quarto trimestre de 2023 até o início de 2024”. Claro, sempre quis passar as férias de inverno atualizando e reiniciando todas as minhas máquinas – e tenho certeza de que você também.
Enquanto isso, apenas proteja seus sistemas o máximo possível para que um atacante do LogoFAIL não consiga se fixar. Depois que eles entrarem, é quase certo que você não conseguirá removê-los.
