\nA Microsoft, há 14 anos, propôs proteger o Windows de bootkits – meios de infectar o sistema operacional através do firmware da placa-mãe – usando a tecnologia Secure Boot, que o Linux logo adotou. Na prática, porém, esta proteção revelou-se ineficaz: os especialistas da ESET descobriram 11 componentes de arranque comprometidos que permaneceram assinados pela Microsoft.\n\n

\n\nFonte da imagem: welivesecurity.com\n\nEsses componentes são conhecidos como shim (“camadas”) e são projetados para executar inicialização segura em computadores que executam Linux. Os invasores podem usar várias cópias antigas e esquecidas para contornar a proteção UEFI (Unified Extensible Firmware Interface) na placa-mãe de um PC. O problema surgiu devido ao fato de a Microsoft, que controla a assinatura do shim, não se preocupar em retirar prontamente as cópias nas quais surgiam vulnerabilidades. A ameaça se aplica ao Windows e ao Linux porque o shim pode ser instalado em máquinas que executam ambos os sistemas – um invasor hipotético poderia instalar um componente malicioso na placa-mãe que inicia no início do processo de inicialização e continua em execução após a reinstalação do sistema operacional ou a substituição da unidade do sistema. O problema, enfatiza a ESET, é que ignorar a proteção UEFI Secure Boot não requer nenhuma nova vulnerabilidade – “apenas uma cópia do binário shim antigo, ainda confiável e não revogado e uma compreensão básica de como o shim UEFI funciona”.\n\nAlgumas das 11 instâncias foram usadas por desenvolvedores de distribuições Linux, incluindo Redhat, OpenSuse e Oracle, bem como desenvolvedores de software, incluindo PC-Doctor e até mesmo organizador de exames finais na Finlândia. Se o Secure Boot interagir diretamente com o Windows, os shims serão assinados apenas pela Microsoft, que deverá revogá-los. Esses mecanismos são implementados usando dois bancos de dados: o banco de dados db lista todos os certificados de assinatura permitidos e hashes Authenticode; no banco de dados dbx – aqueles que não são mais confiáveis. Mas, como o tamanho deste último é de apenas 32 KB, a Microsoft decidiu indicar não hashes, mas números de versão dos componentes.\n\nPara não armazenaruma enorme lista de arquivos proibidos, o mecanismo de versão mínima aceitável (SBAT) foi introduzido. O shim moderno pode verificar sua própria versão e as versões de todos os componentes baixados, recusando-se a executar aqueles que são muito antigos. O problema descoberto pelos especialistas da ESET é que muitos deles foram criados antes do advento desses mecanismos ou continham outras vulnerabilidades conhecidas – a Microsoft não os revogou durante anos e a UEFI continuou a considerá-los confiáveis.\n\nO problema foi resolvido nas atualizações mais recentes. No caso do Windows 11, ele saiu apenas em junho. No caso do Linux, tudo é um pouco mais complicado, pois as distribuições são desenvolvidas por diversos fornecedores – é recomendável contatá-los: os status atuais dos shims revogados estão disponíveis ao executar o script “uefi-dbx-audit”.\n

admin

Postagens recentes

Analistas: GTA VI faturou mais de um quarto de bilhão de dólares na primeira semana de pré-encomendas

\nAs pré-encomendas do aguardado thriller policial de mundo aberto GTA VI da Rockstar Games, que…

35 minutos atrás

A Europa obrigou o Google a abrir o Android para assistentes de IA de terceiros e compartilhar dados de pesquisa com concorrentes

\nO Google terá que ajudar a OpenAI e outras inteligências artificiais e rivais de pesquisa…

2 horas atrás

Nvidia atraiu SEGA para Arm: os jogos da editora japonesa serão lançados no RTX Spark, e Virtua Fighter Crossroads será o primeiro

\nA Nvidia anunciou que a SEGA lançará jogos para computadores rodando em seu novo processador…

2 horas atrás