A GIGABYTE confirmou que placas-mãe e notebooks com suporte a senhas UEFI podem ter essa proteção contornada através do Ambiente de Recuperação do Windows (WinRE), mas classificou o comportamento como um “problema de design” inerente ao modelo de confiança atual do UEFI. A questão, reportada pela pesquisadora Beatriz Fresno Naumova e registrada como VU#226679 pelo CERT/CC, permite que um atacante com acesso físico ou privilégios suficientes no Windows invoque funções de recuperação para iniciar um sistema operacional externo sem ser solicitado a inserir a senha UEFI configurada pelo administrador.
O cerne da questão está na variável UEFI BootNext, uma configuração de inicialização única armazenada na NVRAM do firmware. O CERT/CC explica que BootNext tem precedência sobre a ordem normal de inicialização e pode direcionar o sistema para boot em um dispositivo alternativo, mas não é autenticado, deixando a verificação e o comportamento de reinicialização a cargo dos fabricantes. Embora o Secure Boot continue verificando assinaturas, o BootNext em si não é protegido, permitindo que um invasor modifique as configurações de inicialização, contorne controles de segurança do sistema operacional ou tente ataques offline contra dados armazenados.
GIGABYTE alega ser um comportamento projetado
Em comunicado, a GIGABYTE reconheceu que suas placas podem exibir esse comportamento quando os usuários entram no WinRE e selecionam a opção “Usar um dispositivo” para boot em mídia externa. No entanto, a empresa descreve a situação como uma consequência inerente ao modelo de confiança UEFI atual, onde o firmware é projetado para confiar em solicitações BootNext originadas de um sistema operacional em execução. Em vez de tratar a questão como uma vulnerabilidade de firmware a ser corrigida, a GIGABYTE a apresenta como uma compensação de design do ecossistema envolvendo sistemas operacionais, ambientes de recuperação e firmware UEFI.
A empresa argumenta que as defesas mais eficazes são operacionais, e não baseadas em firmware. A GIGABYTE recomenda a ativação da criptografia de disco completo com BitLocker e autenticação baseada em TPM, a restrição do acesso ao WinRE e aos recursos de inicialização avançada por meio de Política de Grupo, o controle do uso de mídia de boot externa e a implementação de medidas de segurança física para prevenir acesso não autorizado aos dispositivos.
Recomendações do CERT/CC para Mitigação
O CERT/CC está alertando as organizações de que as senhas de firmware podem não fornecer o nível de proteção esperado quando o WinRE está disponível, e recomenda a implantação de defesas em camadas. A entidade sugere o uso de BitLocker com TPM+PIN, restrições rigorosas aos ambientes de recuperação, controle mais rígido sobre mídias de boot externas e o fortalecimento das medidas de segurança física. A GIGABYTE afirmou que continua coordenando com parceiros do setor e fornecedores de sistemas operacionais para avaliar possíveis melhorias na relação de confiança entre firmware e ambientes de recuperação, mas não indicou que uma atualização de firmware esteja planejada.
