English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Sinais de alerta que precedem um incêndio elétrico
Mar 06, 2023Siemens Energy e Mitsubishi Electric para desenvolver alta
Mar 08, 2023Disjuntor, termistor e mercado de fusíveis: por tipo (disjuntor (ar, vácuo, SF6 e óleo), termistor (NTC, PTC) e fusível (religável, cartucho, lâmina, reajustável) por tensão; por operação; aplicação (transporte , Médico, Consumidor, Outro)
Mar 10, 2023Você realmente precisa de um monitor de energia residencial?
Mar 12, 2023A Duke Energy é uma das principais vazadoras de um gás que é 25.000 vezes mais poluente que o dióxido de carbono, mostram os registros da EPA
Mar 14, 2023Milhões de placas-mãe Gigabyte foram vendidas com backdoor de firmware
Dec 14, 2023Andy Greenberg
Ocultar programas maliciosos no firmware UEFI de um computador, o código profundo que diz ao PC como carregar seu sistema operacional, tornou-se um truque insidioso no kit de ferramentas de hackers furtivos. Mas quando um fabricante de placa-mãe instala seu próprio backdoor oculto no firmware de milhões de computadores - e nem mesmo coloca um bloqueio adequado nessa entrada oculta - eles estão praticamente fazendo o trabalho de hackers para eles.
Pesquisadores da empresa de segurança cibernética focada em firmware Eclypsium revelaram hoje que descobriram um mecanismo oculto no firmware das placas-mãe vendidas pelo fabricante taiwanês Gigabyte, cujos componentes são comumente usados em PCs para jogos e outros computadores de alto desempenho. Sempre que um computador com a placa-mãe Gigabyte afetada é reiniciado, descobriu o Eclypsium, o código no firmware da placa-mãe inicia de forma invisível um programa atualizador que é executado no computador e, por sua vez, baixa e executa outro software.
Embora a Eclypsium diga que o código oculto é uma ferramenta inócua para manter o firmware da placa-mãe atualizado, os pesquisadores descobriram que ele é implementado de forma insegura, potencialmente permitindo que o mecanismo seja sequestrado e usado para instalar malware em vez do programa pretendido pela Gigabyte. E como o programa atualizador é acionado a partir do firmware do computador, fora de seu sistema operacional, é difícil para os usuários removê-lo ou até mesmo descobri-lo.
"Se você tem uma dessas máquinas, precisa se preocupar com o fato de que ela está basicamente pegando algo da internet e rodando sem você se envolver, e não fez nada disso com segurança", diz John Loucaides, líder de estratégia e pesquisa em Eclypsium. "O conceito de passar por baixo do usuário final e assumir o controle de sua máquina não agrada a maioria das pessoas."
Em sua postagem no blog sobre a pesquisa, a Eclypsium lista 271 modelos de placas-mãe Gigabyte que os pesquisadores dizem serem afetados. Loucaides acrescenta que os usuários que desejam ver qual placa-mãe seu computador usa podem verificar em "Iniciar" no Windows e depois em "Informações do sistema".
A Eclypsium diz ter encontrado o mecanismo de firmware oculto da Gigabyte enquanto vasculhava os computadores dos clientes em busca de códigos maliciosos baseados em firmware, uma ferramenta cada vez mais comum empregada por hackers sofisticados. Em 2018, por exemplo, hackers trabalhando em nome da agência de inteligência militar russa GRU foram descobertos instalando silenciosamente o software antirroubo LoJack baseado em firmware nas máquinas das vítimas como uma tática de espionagem. Hackers patrocinados pelo estado chinês foram vistos dois anos depois reaproveitando uma ferramenta de spyware baseada em firmware criada pela empresa de hackers de aluguel Hacking Team para atingir os computadores de diplomatas e funcionários de ONGs na África, Ásia e Europa. Os pesquisadores da Eclypsium ficaram surpresos ao ver suas varreduras de detecção automática sinalizarem o mecanismo atualizador da Gigabyte por realizar alguns dos mesmos comportamentos obscuros das ferramentas de hacking patrocinadas pelo estado - ocultando-se no firmware e instalando silenciosamente um programa que baixa o código da Internet.
Lauren Goode
Equipe WIRED
Brenda Stolyar
Will Knight
O atualizador da Gigabyte sozinho pode ter levantado preocupações para os usuários que não confiam na Gigabyte para instalar código silenciosamente em suas máquinas com uma ferramenta quase invisível - ou que temem que o mecanismo da Gigabyte possa ser explorado por hackers que comprometem o fabricante da placa-mãe para explorar seu acesso oculto em um ataque à cadeia de suprimentos de software. Mas o Eclypsium também descobriu que o mecanismo de atualização foi implementado com vulnerabilidades gritantes que podem permitir que ele seja sequestrado: ele baixa o código para a máquina do usuário sem autenticá-lo adequadamente, às vezes até mesmo por uma conexão HTTP desprotegida, em vez de HTTPS. Isso permitiria que a fonte de instalação fosse falsificada por um ataque man-in-the-middle realizado por qualquer pessoa que pudesse interceptar a conexão de Internet do usuário, como uma rede Wi-Fi não autorizada.
Em outros casos, o atualizador instalado pelo mecanismo no firmware da Gigabyte é configurado para ser baixado de um dispositivo de armazenamento conectado à rede local (NAS), um recurso que parece ser projetado para redes de negócios para administrar atualizações sem que todas as suas máquinas alcancem para a internet. Mas o Eclypsium adverte que, nesses casos, um agente mal-intencionado na mesma rede pode falsificar a localização do NAS para instalar de forma invisível seu próprio malware.