UEFI é a abreviatura de Unified Extensible Firmware Interface. Esta é uma tecnologia comumente usada por computadores modernos. No entanto, uma vez que ocorre uma vulnerabilidade nesta tecnologia subjacente, ela também é muito ruim, porque backdoors implantados através de UEFI não são fáceis de detectar ou remover. Recentemente, pesquisadores descobriram nove vulnerabilidades no firmware UEFI de cinco provedores. Essas vulnerabilidades são chamadas coletivamente de PixieFail pelos pesquisadores. Mesmo usuários com permissões baixas podem explorar as vulnerabilidades para lançar ataques.

Um hacker bem-sucedido seria capaz de instalar firmware malicioso que executaria malware antes da inicialização do sistema operacional, mas essa vulnerabilidade afeta principalmente empresas e data centers.

Inicialização PXE baseada em IPv6:

PXE é um método usado pelas empresas para inicializar um grande número de dispositivos. O PXE não armazena o sistema operacional no dispositivo. Em vez disso, a imagem do sistema é armazenada no servidor de inicialização. O dispositivo terminal se conecta ao servidor de inicialização por meio de PXE para iniciar o sistema operacional.

O PXE foi especialmente projetado para oferecer facilidade de uso, consistência e garantia de qualidade em data centers e ambientes de nuvem. Os administradores de TI podem usá-lo para atualizar em lote, configurar e iniciar sistemas operacionais.

A vulnerabilidade que surgiu desta vez está no PXE. Quando a conexão IPv6 tiver sido configurada para iniciar o servidor, o invasor poderá usar a vulnerabilidade para baixar uma imagem de firmware maliciosa em vez da imagem de firmware configurada pelo administrador de TI.

Uma vez implantado no UEFI, o malware pode se tornar persistente porque o software de segurança convencional pode não detectar que o UEFI está infectado ou pode não conseguir removê-lo após ser detectado.

Os pesquisadores dizem:

O invasor não precisa de acesso físico ao dispositivo terminal e ao servidor de inicialização. O invasor só precisa conseguir acessar a rede onde esses sistemas estão rodando e cooperar com ferramentas para capturar pacotes de dados, e então injetá-los e transmiti-los.

Algumas dessas vulnerabilidades podem ser desencadeadas por um invasor que envia pacotes maliciosos ao cliente na resposta da solicitação quando o dispositivo final é inicializado.

Desative PXE e IPv6:

Uma maneira mais fácil de evitar essa vulnerabilidade é desabilitar diretamente a inicialização do PXE e o IPv6. A maioria dos usuários domésticos basicamente não usa PXE, portanto podem ser desativados diretamente.

Além disso, esta vulnerabilidade afeta apenas servidores de inicialização conectados através de IPv6. Se uma empresa ou data center usar conexões IPv4, não será afetado.

Corrigir bug:

Atualmente, os fornecedores de firmware UEFI estão produzindo sucessivamente novas versões de firmware e distribuindo-as aos clientes. Por exemplo, a AMI confirmou que a vulnerabilidade afeta o firmware da série OptioV e atualmente produziu uma nova versão do firmware e a distribuiu aos clientes.

Outros fornecedores de firmware ainda estão atualizando seu firmware. Os provedores de firmware afetados incluem: ArmLtd., Insyde, AMI, Phoenix Technologies e Microsoft.

Resposta da Microsoft:

A Microsoft disse que a empresa está tomando as medidas cabíveis, mas não divulgou o conteúdo específico das ações. Ao mesmo tempo, a Microsoft também afirmou incorretamente que o invasor também precisaria estabelecer um servidor malicioso na intranet corporativa, mas os pesquisadores disseram que isso não era necessário.

Por fim, a Microsoft também recomenda que, caso você não use PXE ou outros protocolos, desative-os. Se quiser usá-los, você também deve configurar o protocolo de criptografia TLS, que pode impedir que invasores realizem sequestro man-in-the-middle.