Percalços na placa-mãe prejudicam a confiança e a segurança

Views: 106
0 0
Read Time:5 Minute, 14 Second

O mais recente Windows Preview da Microsoft parece desencadear um bug em algumas placas-mãe fabricadas pelo fabricante de hardware de computador MSI. É o último passo em falso da placa-mãe revelado em 2023.

Em duas declarações publicadas no fim de semana, tanto a Microsoft quanto a MSI disseram estar cientes de que a instalação do Windows Preview mais recente faz com que alguns computadores tenham uma tela azul com um erro de processador não suportado. A atualização, conhecida como KB5029351 Preview, oferece novos recursos e outras melhorias para uma variedade de componentes do Windows 11, incluindo o aplicativo de pesquisa, bem como os padrões para vários aplicativos.

Até 28 de agosto, nem a Microsoft nem a MSI descobriram a causa do problema e nenhuma das empresas retornou um pedido de comentário.

“Tanto a MSI quanto a Microsoft estão cientes do erro ‘UNSUPPORTED_PROCESSOR’ e começaram a investigar a causa raiz”, escreveu a MSI em seu comunicado . “Enquanto a investigação está em andamento, recomendamos que todos os usuários evitem temporariamente instalar a atualização KB5029351 Preview no Windows.”

O problema é o mais recente de uma série de problemas que afetaram os fabricantes de placas-mãe no ano passado. Em janeiro, um conjunto de cinco vulnerabilidades no firmware usado pelos controladores de gerenciamento de placa base – chips de gerenciamento remoto incluídos em muitas placas-mãe de servidores – poderia ter permitido acesso remoto pela Internet . No final de maio, pesquisadores revelaram que um backdoor em centenas de modelos de placas-mãe da Gigabyte, destinado a facilitar a atualização, deixou os computadores abertos a ataques. A empresa corrigiu o problema no dia seguinte.

E em março, empresas de segurança alertaram que o malware BlackLotus tinha como alvo a Unified Extensible Firmware Interface (UEFI) , que atua como cola de software de baixo nível entre o sistema operacional e a placa-mãe. Atores mal-intencionados estavam usando isso como uma forma de contornar a inicialização segura da Microsoft. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) reiterou o alerta no início deste mês , dizendo que os defensores cibernéticos e os desenvolvedores de firmware estavam atrás dos grupos de ameaças em sua capacidade de se protegerem contra os problemas.

“UEFI é essencial para a maioria dos computadores”, afirmou a CISA no apelo à ação . “Com base nas respostas recentes a incidentes com malware UEFI, como o BlackLotus, a comunidade de segurança cibernética e os desenvolvedores UEFI parecem ainda estar em modo de aprendizagem.”

Telas azuis e custos impostos

Embora as falhas muitas vezes prenunciem a existência de vulnerabilidades, o problema da placa-mãe MSI provavelmente não terá implicações de segurança, apenas preocupações de disponibilidade, para as empresas afetadas, diz Nate Warfield, diretor de pesquisa e inteligência de ameaças da Eclypsium, uma empresa de segurança de firmware.

“A tela azul da morte, por si só, geralmente não é uma vulnerabilidade – é algo que as pessoas que estão desenvolvendo explorações encontrarão”, diz ele. “Então parece que houve alguma falha de interoperabilidade aqui.”

As placas-mãe tornaram-se um ecossistema complexo de tecnologias, desde os chips Trusted Platform Module (TPM), que atuam como bloqueio digital dos dados que passam pelos chips dos dispositivos, até o padrão UEFI, que permite ao sistema operacional controlar dispositivos de baixo nível através de motoristas.

A Microsoft fez do Secure Boot — com sua capacidade de atestar o estado de uma máquina — a base de seu suporte à segurança de confiança zero. Por razões semelhantes, os invasores estão começando a procurar maneiras de contornar a inicialização segura, menos como uma forma de obter acesso inicial aos dispositivos, mas sim para ganhar persistência.

Como os defensores impuseram mais custos aos invasores por meio de melhores sistemas operacionais e segurança de aplicativos, os atores das ameaças estão mirando em valores mais baixos, diz Warfield.

“Temos uma indústria de centenas de bilhões de dólares por ano para proteger tudo acima do firmware”, diz ele. “Portanto, para os invasores, se custar mais para se espalhar para o sistema operacional ou aplicativo, eles encontrarão locais onde será necessário menos investimento técnico para escapar dos controles de segurança”.

Não subestime a segurança da placa-mãe

No incidente mais recente, não há muito o que os usuários possam fazer, mas tomem cuidado ao usar versões de visualização do Windows em sistemas empresariais.

No entanto, em geral, as empresas devem certificar-se de que medidas fundamentais de segurança, como o Secure Boot, estão habilitadas em suas placas-mãe. Em 2023, isso deveria ser padrão para todas as placas-mãe, mas pelo menos um pesquisador descobriu que a MSI havia desligado o Secure Boot em alguns modelos de placas-mãe. No final de 2022, o pesquisador de segurança polonês Dawid Potocki descobriu que uma versão das placas-mãe da empresa era fornecida sem inicialização segura.

“Não confie que todos os recursos de segurança que você ativou estão funcionando, TESTE-OS!” ele escreveu . “De alguma forma, fui a primeira pessoa a documentar isso, embora tenha sido introduzido pela primeira vez em algum lugar no terceiro trimestre de 2021 [um ano antes].”

A empresa reconheceu a preocupação de que as configurações da placa-mãe fossem muito permissivas.

“Em resposta ao relatório de preocupações de segurança com as configurações predefinidas do BIOS, a MSI lançará novos arquivos BIOS para nossas placas-mãe com ‘Deny Execute’ como configuração padrão para níveis de segurança mais elevados”, afirmou a MSI na época . “A MSI também manterá um mecanismo de inicialização segura totalmente funcional no BIOS para os usuários finais, para que possam modificá-lo de acordo com suas necessidades.”

As organizações também podem ter que desenvolver um foco mais preciso para seu controle de ativos – não apenas saber que um usuário está em um laptop Dell ou HP, mas que o dispositivo está usando uma placa-mãe e versão de firmware específicas, diz Warfield.

“Quando algo acontece, o desafio para as organizações passa a ser saber quantos sistemas da sua frota são afetados”, diz ele. “Isso se torna muito mais difícil só porque não é tão facilmente acessível através das ferramentas que as pessoas usam para gerenciar seus dispositivos”.

FONTE: DARKREADING

POSTS RELACIONADOS