
A tecnologia Intel Boot Guard foi projetada precisamente para excluir esses ataques: em teoria, ela garante o carregamento apenas de código confiável no estágio inicial de inicialização do computador. Acontece que, quando o computador sai do sono S3, nem todos os dispositivos autenticam o conteúdo da memória flash, o que permite alterar o código. As consequências de tal ataque podem ser graves. Em particular, torna-se possível descriptografar dados em um disco rígido se for possível ler as chaves armazenadas na RAM.
Para detectar o ataque, Trammell usou seu próprio desenvolvimento - um emulador de memória flash de hardware spispy , que permite rastrear o acesso ao chip da BIOS e substituir o código de inicialização na hora, em parte ou no todo. A vulnerabilidade é qualificada como erro de Time-of-check / Time-of-Use (TOCTOU) - este termo descreve uma situação em que o código é validado “no momento errado” e, após a verificação, permanece a possibilidade de substituição de software.
Há uma sugestão no estudo de que os fabricantes de hardware frequentemente recusam a validação adicional do código BIOS (Hudson descobriu o problema em dispositivos de cinco fornecedores diferentes). Talvez eles façam isso por causa dos requisitos da Microsoft, que impõe sérias restrições ao tempo que o logotipo do Windows aparece depois de acordar. Se for verdade, a segurança foi sacrificada para o conforto do usuário. O problema é agravado pelo fato de que esses parâmetros são definidos no hardware e não podem ser alterados pelo software.
Embora Hudson não saiba exatamente como a Intel resolveu o problema, provavelmente as configurações do fornecedor foram parcialmente ignoradas e o novo firmware do módulo CSME verifica forçosamente a validade do código BIOS ao sair do modo de espera.
Ataques como o descrito por Hudson, por definição, não podem ser massivos, mas não será fácil fechar a vulnerabilidade - você tem que esperar até que o patch chegue a dispositivos específicos através do fabricante do laptop ou placa-mãe. Por outro lado, você pode proteger seus dados valiosos de tal ataque por conta própria: apenas desligue seu laptop em situações em que ele for deixado sem supervisão.
O que mais aconteceu
Os especialistas da Kaspersky Lab examinaram em detalhes o trabalho de dois Trojans ransomware, Ragnar Locker e Egregor. Esses dois exemplos mostram como os cibercriminosos não apenas extorquem dinheiro para descriptografar, mas também roubam dados das vítimas e ameaçam publicá-los.
A Nvidia corrigiu outro grande bug em seu software, desta vez no software GeForce Now. A vulnerabilidade de execução arbitrária de código está relacionada à biblioteca de código aberto OpenSSL usada no software.
O Avast encontrou um monte de aplicativos no Google Play que supostamente estendem a funcionalidade do jogo Minecraft, mas na verdade cobram das vítimas US $ 30 por semana.
O conjunto de patches mensal da Microsoft fechou pelo menos um Zero Day ( escrevemos sobre esta vulnerabilidade duas semanas atrás), bem como uma vulnerabilidade séria no serviço Network File System. Outra vulnerabilidade (CVE-2020-1599) permite que código malicioso seja anexado a um arquivo executável, enquanto mantém a validade da assinatura digital. Enquanto isso, mais dois dias-zero são corrigidos no navegador Google Chrome.
A Apple exige que os fornecedores de software forneçam um manifesto detalhando como os dados do usuário são tratados. A própria empresa está sendo criticada (veja o tweet acima) por causa da nova funcionalidade do macOS Big Sur: os aplicativos do sistema agora podem se conectar diretamente aos servidores da empresa, ignorando firewalls personalizados e clientes VPN. Primeiro, essa prática pode ser explorada por malware. Em segundo lugar, esta abordagem revela o IP real do usuário, mesmo que ele queira ocultá-lo.