Scanner do UEFI, uma forma de combater malwares persistentes

Scanner do UEFI, uma forma de combater malwares persistentes

Ainda não há malware para o firmware em larga escala, mas nunca sabemos o que o cibercrime está preparando. Por isso, é melhor estar preparado com uma solução que realize a varredura do UEFI.

Ainda não há malware para o firmware em larga escala, mas nunca sabemos o que o cibercrime está preparando. Por isso, é melhor estar preparado com uma solução que realize a varredura do UEFI.

Em linhas gerais, o scanner do UEFI (em português, Interface unificada de firmware extensível) ajuda a proteger o seu computador contra pessoas que tenta tomar o controle do equipamento através do comprometimento da interface do UEFI.

Um ataque exitoso nesta especificação pode dar ao cibercriminoso o controle total do sistema, incluindo a persistência: a capacidade de manter secretamente o acesso não autorizado à máquina, apesar de reiniciar e/ou formatar o disco rígido.

Como você pode imaginar, essa forma de persistência não é uma virtude e pode prolongar a inconveniência de uma infecção por um código malicioso.

Se o seu software de segurança apenas analisa as unidades e a memória, sem verificar o UEFI, talvez você possa pensar que possui uma máquina limpa quando não é verdade. Por isso, recomendamos uma solução de segurança que realiza a análise, como ESET.

Por que meu dispositivo possui um UEFI?

UEFI scanner

Os dispositivos de computador funcionam por meio da execução de código: as instruções que chamamos de software e que fazem com que um hardware, como um laptop ou smartphone, faça algo útil.

O código pode ser enviado para o dispositivo de várias formas. Por exemplo, pode ser lido no armazenamento em um disco, na memória ou entregue através de uma conexão de rede. No entanto, quando ligamos um dispositivo digital, o equipamento deve ser inicializado em algum lugar (bootstrap), e esse primeiro pedaço de código normalmente é armazenado em um chip no dispositivo.

Este código, conhecido como firmware, pode incluir um “autoteste de inicialização” (“power-on self-test” ou POST) para garantir que as coisas funcionem corretamente, seguido do carregamento na memória das instruções básicas para manipular a entrada e a saída.

não sabemos quando aparecerá uma nova campanha de malware que explore o UEFI de forma massiva

Se você conhece bem os computadores, é possível que identifique este código baseado em chips como BIOS ou Basic Input Output System. De fato, a tecnologia BIOS remonta aos anos 70 e, por isso, não é surpreendente que ocorram problemas para atender as demandas dos computadores atuais. Meu colega, Cameron Camp, fez excelentes comentários neste artigo sobre o scanner do UEFI. Como detalha Cameron, a tecnologia UEFI evoluiu para substituir o BIOS, embora alguns dispositivos ainda se refiram ao mesmo como BIOS.

Tecnicamente, UEFI é uma especificação, mantida pelo Unified Extensible Firmware Interface Forum (uefi.org). De acordo com o fórum, a especificação define um novo modelo para a interface entre os sistemas operacionais de computadores pessoais e firmware da plataforma, e consiste em:

“Tabelas de dados que contêm informações relacionadas à plataforma, além de chamadas de serviço de inicialização e tempo de execução disponíveis para o sistema operacional e seu carregador de inicialização ou boot loader”.

Sem entrar em muitos detalhes técnicos, o UEFI adicionou uma grande funcionalidade ao processo de inicialização, incluindo algumas medidas de segurança sérias (estas são discutidas no documento da ESET citado neste artigo).

Infelizmente, os benefícios ilícitos da criação de um código que sigilosamente pode tomar o controle de um sistema no início do processo de inicialização, geralmente chamado de bootkit, são um poderoso motivador para pessoas que se especializam no acesso não autorizado a dispositivos digitais.

Tais pessoas poderiam ser: cibercriminosos, agências nacionais e estrangeiras como NSA e CIA, e empresas privadas que vendem “ferramentas de vigilância” aos governos.

Para mais detalhes, confira o excelente artigo do meu colega da ESET, Cassius Puodzius, que analisa esses “atores” por trás das ameaças e o seus interesses pelo UEFI. De qualquer forma, o pesquisador sênior da ESET, David Harley, falou de forma detalhada sobre o tema mais amplo da evolução do bootkit nos primeiros dias até o ano de 2012. Além disso, confira também o documento “Bootkits, passado, presente e futuro”, apresentado no Virus Bulletin 2014. E é claro que existem muitos documentos técnicos no site do Fórum UEFI.

Então, qual é o risco para o seu UEFI?

Para a maioria das pessoas, a resposta correta dependerá de quem seja. Por exemplo, você é alguém cujo computador pode ser de interesse para a NSA ou a CIA ou outra instituição governamental que tenha recursos para investir em código que explore o UEFI, seja seu próprio código ou um produto de vigilância comercial comprado de um fornecedor?

Você está usando seu computador para desenvolver, revisar ou de outra forma lidar com a propriedade intelectual que vale a pena roubar? Se você respondeu de forma afirmativa a uma dessas perguntas, então eu diria que existe um risco acima da média de encontrar um malware para o UEFI.

Atualmente, não tenho conhecimento de campanhas de malware em grande escala, amplamente direcionadas, que exploram o UEFI para atacar os sistemas de computadores do público em geral (se você conhece algum, compartilhe com a gente).

No entanto, mesmo se você não estiver em uma categoria de alto risco, acredito que seja necessário o uso de um software de segurança com capacidade de scanner do UEFI. Por quê? Lembra dessas agências de três letras que estão desenvolvendo ataques para o UEFI? Bem, essas agências não possuem uma reputação estelar para manter suas ferramentas em segredo.

Na verdade, a maior novidade em malware até agora neste ano foi o WannaCryptor, também conhecido como WannaCry, e uma das razões pelas quais esse ransomware se propagou de forma tão rápida foi o uso de um exploit “ultra secreto”, desenvolvido pela NSA.

Em outras palavras, simplesmente não sabemos quando uma nova campanha de malware que explora o UEFI e mantém a persistência em sistemas comprometidos aparecerá in the wild. O que posso dizer é que as pessoas que realizam a verificação do UEFI de forma regular estarão mais preparadas para proteger seus sistemas do que as pessoas que não o realizam. E é sobre isso que se trata o scanner do UEFI.

Discussão