Os fabricantes de dispositivos não estão forçando assinaturas de drivers no carregamento – apenas na instalação. A vulnerabilidade atinge até adaptadores de USB
Em um relatório publicado ontem, a consultoria Eclypsium, especializada em segurança de firmware, afirma que a falta de assinatura no carregamento de drivers – e muitas vezes na sua instalação – continua sendo um problema generalizado entre fabricantes de dispositivos e periféricos. Segundo os pesquisadores, muitos fabricantes também não assinam o firmware fornecido para seus componentes. Ainda que o firmware de um dispositivo esteja assinado, os fabricantes não estão impondo verificações de assinatura toda vez que o driver ou firmware é carregado. Isso só acontece durante a instalação.
Os pesquisadores da Eclypsium dizem que isso é uma porta aberta para que pessoas mal-intencionadas violem o firmware, podendo plantar malware persistente e quase invisível nos dispositivos dos usuários. Para provar seu argumento, a equipe da Eclypsium divulgou vulnerabilidades em quatro tipos de firmware de periférico – para touchpads / trackpads, câmeras, adaptadores WiFi e hubs USB.
“A Apple realiza a verificação de assinaturas em todos os arquivos em um pacote de drivers, incluindo firmware, todas as vezes, antes de serem carregados no dispositivo, para mitigar esse tipo de ataque”, disse a equipe do Eclypsium. “Por outro lado, Windows e Linux só executam esse tipo de verificação quando o pacote é instalado.”
Mesmo assim a Eclypsium não culpa os sistemas operacionais por não impor uma prática mais rigorosa de assinatura de firmware: “O próprio dispositivo precisa executar a verificação da assinatura antes de permitir a atualização do firmware, em vez de depender do sistema operacional para executar esta tarefa”, afirmam os pesquisadores.
OS FABRICANTES DE DISPOSITIVOS SE ESQUECERAM DO EQUATION GROUP
A razão pela qual os fabricantes de dispositivos não estão fazendo isso é devido à preguiça, indiferença ou porque não sentem que eles ou seus clientes estão sob qualquer ameaça. No entanto, quando pressionados, os fabricantes são mais do que capazes de impor assinaturas. Isso já aconteceu antes. Em 2015, pesquisadores de segurança da Kaspersky descobriram um tipo de malware que ninguém mais havia visto até então.
O malware, conhecido como NLS_933.dll, tinha a capacidade de reescrever o firmware do HD de uma dúzia de marcas para plantar backdoors persistentes. A Kaspersky disse que o malware foi usado em ataques contra sistemas em todo o mundo. Os pesquisadores da empresa alegaram que o malware foi desenvolvido por um grupo de hackers conhecido como Equation Group, um codinome que mais tarde foi associado à Agência de Segurança Nacional dos EUA (NSA).
Saber que a NSA estava espionando seus clientes levou muitos fornecedores de HDD e SSD a melhorar a segurança de seu firmware, disse a Eclypsium. No entanto, cinco anos depois, a Eclypsium diz que os fornecedores resolveram apenas parcialmente esse problema. “Após a divulgação dos implantes de unidade do Equation Group, muitos fornecedores de HDD e SSD fizeram alterações para garantir que seus componentes aceitariam apenas firmware válido. No entanto, muitos dos outros componentes periféricos ainda precisam seguir o exemplo”, disseram os pesquisadores.
Agora, a Eclypsium está incentivando a indústria de hardware a seguir os passos dos fabricantes de HDD / SSD e a adotar regras mais rígidas para assinaturas de firmware – ou seja, que as assinaturas sejam verificadas sempre que o firmware for carregado na memória, e não apenas no momento da instalação.
