A fabricante de placas-mãe Gigabyte, uma das maiores do mercado, está enfrentando uma situação preocupante. A empresa lançou uma série de placas-mãe com um firmware autoatualizável, no entanto, este firmware possui uma vulnerabilidade que pode permitir ataques de backdoor.
A falha foi descoberta pela empresa de segurança Eclypsium. A companhia apontou que o firmware não verifica a origem e a autenticidade das atualizações, deixando o sistema aberto para a instalação de programas maliciosos.
Leia também
O que é firmware? Por que é importante atualizar?
Qual a diferença entre Firmware e Driver? [VÍDEO]
Placas-mães lançadas desde 2018 estão vulneráveis
Os ataques de backdoor são um dos métodos mais eficazes para invadir um computador, pois permitem que os invasores acessem o sistema remotamente através de um programa aparentemente seguro.
No caso das placas-mãe da Gigabyte, a vulnerabilidade está presente em praticamente todos os modelos lançados de 2018 até hoje. Inclusive, a Eclypsium publicou uma lista completa dos modelos afetados. Se você possui uma placa-mãe Gigabyte, recomendo fortemente que dê uma olhada nessa lista e verifique se a sua placa está nela.
A vulnerabilidade reside na forma como o firmware da Gigabyte é atualizado. O firmware é projetado para se atualizar automaticamente, baixando as versões mais recentes diretamente do servidor oficial da Gigabyte ou de algum dispositivo de armazenamento. No entanto, a implementação é falha, permitindo a instalação de qualquer programa sem verificar a origem e a autenticidade.
Diversos cenários para um ataque backdoor
Os riscos associados a essa vulnerabilidade são significativos. Por exemplo, uma invasão aos sistemas da Gigabyte poderia permitir que um grupo de invasores instalasse um malware diretamente na linha de produção das placas-mãe.
Outro cenário hipotético envolve um invasor que poderia colocar um programa malicioso que se aproveita da vulnerabilidade do firmware para atacar um ou vários computadores.
Além disso, a vulnerabilidade também pode ser explorada por meio de um ataque de “man-in-the-middle”. Nesse cenário, um invasor poderia interceptar o tráfego legítimo entre o servidor da Gigabyte e o computador do usuário, substituindo a atualização legítima do firmware por um código malicioso. Uma vez instalado, o malware poderia conceder ao invasor acesso total ao sistema, permitindo a instalação de rootkits UEFI que persistiriam mesmo após a formatação do computador.
Gigabyte ainda não se pronunciou
Até o momento, a Gigabyte não se pronunciou sobre a situação. Enquanto isso, a Eclypsium está trabalhando junto com a fabricante para resolver o problema. Ainda não está claro quando uma correção estará disponível, mas é provável que a solução para as atualizações inseguras do firmware seja uma atualização do próprio firmware.
Por isso, é importante não apenas atualizar o firmware, mas as empresas precisam ter mais cuidado ao pensar em como este firmware será distribuído e implementado. Sem dúvidas, a ideia de um firmware autoatualizável é bem conveniente. Mas para que isso dê certo, é crucial que essas atualizações sejam realizadas de maneira segura para proteger os sistemas contra possíveis ataques de backdoor.
Fontes: Ars Technica e Extreme tech
