Hackers BIOS não apenas a partir de serviços secretos

bios hackingA habilidade de hacking no chip da BIOS no coração de qualquer computador não é mais exclusivo da NSA ou de outros serviços de três letras. Milhões de máquinas contêm vulnerabilidades importantes no BIOS que permitem a qualquer pessoa com habilidades moderadas de hackers obter o controle de um sistema em segredo, segundo dois pesquisadores.

A revelação ocorre dois anos após o vazamento de ferramentas da NSA que surpreenderam a todos com a maneira como eles podem infectar o firmware do BIOS com implantes maliciosos.

Inicializa o BIOS em um computador e ajuda a carregar o sistema operacional. Infectado com este software básico, que funciona antes do carregamento de antivírus e outros produtos de segurança, é praticamente invisível e os espiões podem encontrar espaço para fazer o que quiserem. Eles podem, por exemplo, plantar software mal-intencionado que permanece vivo e despercebido, mesmo que esteja formatado no sistema operacional do computador.

Até agora, os hackers de BIOS têm sido amplamente o domínio de hackers avançados, como os da NSA. Mas os pesquisadores Xeno Kovah e Corey Kallenberg apresentaram um PoC na conferência CanSecWest em Vancouver, mostrando como eles poderiam infectar remotamente o BIOS de vários sistemas usando uma série de novas vulnerabilidades que levavam apenas algumas horas para serem descobertas. Eles também encontraram uma maneira de conceder privilégios de sistema de ponta a malware da BIOS para minar a segurança de sistemas operacionais especializados, como o sistema operacional Tails usado por jornalistas e ativistas para manipular dados confidenciais.

Embora a maioria dos BIOSs tenha proteção para evitar modificações não autorizadas, os pesquisadores conseguiram contorná-los ao atualizar novamente o BIOS ao implantar seu código malicioso.

Kovah e Kallenberg deixaram recentemente o MITRE, um empreiteiro governamental que conduz pesquisas para o Departamento de Defesa e outras agências federais, para lançar a LegbaCore, uma empresa de consultoria em segurança de firmware. Eles observam que a recente descoberta de uma ferramenta de invasão de firmware pelos pesquisadores da Kaspersky Lab deixa claro que a invasão de firmware como a demo do BIOS é algo que a comunidade de segurança deve priorizar.

Como muitos BIOSs usam o mesmo código, eles foram capazes de detectar vulnerabilidades em 80% dos computadores testados, como os sistemas Dell, Lenovo e HP. As vulnerabilidades foram muito fáceis de detectar quando eles escreveram um script para automatizar o processo. Eventualmente, eles pararam de contar vulnerabilidades porque descobriram que havia muitas.

Um invasor de hackers pode comprometer o BIOS de duas maneiras, por operação remota, fornecendo o código de ataque por email, phishing ou algum outro método ou acesso físico ao sistema. Nesse caso, os pesquisadores descobriram que, se tivessem acesso físico a um sistema, poderiam infectar o BIOS em algumas máquinas em apenas dois minutos. Isso mostra o quão rápido e fácil seria, por exemplo, para um funcionário de um serviço que tenha acesso físico a sistemas para pôr em risco toda a empresa de serviços.

O malware deles, chamado LightEater, usa vulnerabilidades para seqüestrar o sistema de gerenciamento para obter privilégios aumentados no sistema.

O modo de gerenciamento do sistema, ou SMM, é o modo de operação dos processadores Intel que usam firmware para executar determinadas funções com privilégios de sistema de alto nível que até excedem os direitos de administrador, diz Kovah. Usando esse recurso, eles podem reescreva o conteúdo do chip da BIOS para instalar seu próprio implante que lhes oferece um acesso persistente e invisível. A partir daí, eles podem instalar kits raiz e roubar senhas e outros dados do sistema.

Mas o mais importante é que o SMM oferece ao malware a capacidade de ler todos os dados e códigos que aparecem na memória da máquina. Isso permite que o malware derrube qualquer computador que use o sistema operacional Tails para proteger a privacidade. O jornalista Glenn Greenwald e eu usamos o Tails para gerenciar documentos da NSA vazados pelo primeiro. Ao ler dados na memória, os hackers podem roubar a chave de criptografia de um usuário do Tails e ler todos os dados criptografados. O Tails é executado em uma unidade flash USB segura ou em outro dispositivo removível; portanto, em teoria, não pode ser afetado por vírus ou outro malware que pode infectar o computador. Ele funciona na memória do computador e, quando o sistema operacional é desligado, o Tails exclui a RAM para apagar quaisquer vestígios de sua atividade. Mas como o software LightEater malicioso usa a função de gerenciamento do sistema para ler o conteúdo da memória, ele pode capturar os dados da memória e armazená-los em um local seguro antes que o Tails os exclua.

Esse ataque de hackers mostra que o sistema operacional escolhido por Edward Snowden para se proteger não pode realmente protegê-lo da NSA ou de qualquer outra pessoa que esteja realizando um ataque com o LightEater.

Fonte: secnews.gr