Adaptação de um post de Cameron Camp, ESET Security Researcher. Versão original em inglês disponível aqui.
Quando ESET anunciou que entre as novidades que incorporavam sua nova versão para produtos domésticos incluiria o UEFI Scanner, houveram duas reações. Alguns o consideravam grandioso, enquanto outros se perguntaram “O que é UEFI Scanner?”. A seguir te daremos as respostas para essa pergunta.
De BIOS a UEFI
UEFI significa Interface de Firmware Extendida Unificada (Unified Extensible Firmware Interface em inglês), e é o encarregado de colocar o sistema em funcionamento cada vez que se inicia o computador. Provavelmente você já ouviu que quem se ocupa dessa tarefa era algo chamado de BIOS, e de fato, era assim. No entanto, hoje em dia os computadores utilizam o UEFI.
Como muitas outras partes do sistema de um computador, UEFI pode ser atacado numa tentativa de obter acesso a esse sistema. A tarefa do UEFI Scanner é detectar e mitigar ameaças que podem ser executadas antes que o sistema operacional se inicie. Essas ameaças – que incluem rootkits e ransomware – são decorrentes de vulnerabilidades no UEFI e costumam ser muito resistentes, sobrevivendo até mesmo a uma reinstalação do sistema operacional. O objetivo do ESET UEFI Scanner é prevenir esses tipos de ataques.
BIOS é o antecessor do UEFI e foi feito originalmente em 1975 para computadores de 8 bits. Por muito tempo, ninguém tinha ideia de como substituí-lo, só se sabia que deveria possuir novas capacidades e uma segurança melhor, assim como ser fácil de atualizar e expandir sem a necessidade de uma linguagem de programação.
Um fator mais prático na hora de decidir substituir o BIOS foi a necessidade de suportar discos rígidos maiores, algo que em 1975 não era levado em consideração. Porém isso mudou.
Intel criou o EFI para seus processadores, logo abrindo o UEFI Fórum, em que publicaram uma especificação disponível para que todos possam adptá-lo e construí-lo. A indústria não teve dúvidas e todos os provedores começaram a desenvolver suas versões.
A adoção do UEFI foi impulsionada pela Microsoft, uma entusiasta com relação as novas opções diponíveis: a companhia declarou que o UEFI seria um requerimento para os novos computadores de 64 bits. Depois disso, UEFI introduzia algumas funções de segurança que o BIOS não permitia.
Infelizmente, como em toda nova tecnologia, especialmente uma muito poderosa, confiável e de longo alcance, utilizada para executar muitos dos novos computadores que chegavam ao mercado, nem tudo funcionava como deveria. Levou tempo para testar todas as possíveis variáveis em que se implementava, porém os resultados desses testes não pareciam ser tão completos, sendo assim as primeiras experiências não foram muito satisfatórias.
Por sua vez, toda uma geração de especialistas em tecnologia que haviam crescido com o BIOS, não tinham as ferramentas nem o treinamento para solucionar problemas do UEFI, principalmente porque essas ferramentas ainda não estavam disponíveis.
Inquietação pela segurança
Dado que infectar o UEFI demandava certa persistência dentro do sistema e dificuldade para ser detectado por meio de métodos tradicionais, os cibercriminosos buscaram novas maneiras de conseguir acesso, credenciais do usuário e editar diretamente o UEFI Serial Peripheral Interface ou SPI, que inclui todos os binários confiáveis para iniciar o computador. Para conseguir sucesso, o atacante teria que obter acesso a mais recursos do sistema ao fazer o download dos binários, o que não tem bons resultados.
Boas vindas ao UEFI Scanner
No mundo de desenvolvimento de software de segurança, o potencial para o crescimento de novos vetores de uso do UEFI significou uma maior importância na própria análise interna do UEFI. Como resultado, ESET se introduziu na análise e compreensão de potenciais ameaças. Inicialmente a informação disponível sobre as ameaças ativas para UEFI era pouca, porém graças ao sistema de inteligência e de rastros da ESET, foi possível coletar e analisar potenciais vetores de ataque para proteger esse espaço em crescimento.
De alguma maneira isso não parecia uma verdadeira ameaça, até que os registros foram analisados e publicados. Como com muitas outras novas tecnlogias, os primeiros experimentos para explotar as vulnerabilidades – especialmente as que possuem êxito – costumam ser a fonte de novas coisas por vir. Uma vez que os atacantes encontram a “killer app” para acessar o UEFI, veremos mais exploits in the wild, ao menos que uma combinação de provedores de hardware e software criem patches para isso.
Enquanto as ferramentas dos atacantes se extendem e se mostram mais robustas para o UEFI e a ampla variedade de níveis de patches persista, UEFI seguirá sendo um objetivo. A necessidade de um escaneamento de UEFI e um bloqueio de ameças efetivo somente irá aumentar.