Falha permite que hackers instalem rootkit em chips x86 da Intel

08/08/2015 08:40

Uma falha de desenvolvimento na arquitetura do processador x86 que data de quase duas décadas atrás poderia permitir que invasores instalem um rootkit no firmware low-level de computadores, revelou um pesquisador de segurança nesta semana durante a conferência de segurança Black Hat, nos EUA.

A vulnerabilidade tem origem em um recurso adicionado pela primeira vez à arquitetura x86 em 1997. Ela foi revelada na quinta-feira (06/08) pelo pesquisador Christopher Domas, do Battelle Memorial Institute.

Ao alavancar a falha, os criminosos podem instalar um rootkit no SMM (System Management Mode) do processador, uma região protegida do código que sustenta todos os recursos de segurança de firmware dos computadores modernos.

Uma vez nstalado, o rootkit poderia ser usado para ataques destrutivos como limpar a UEFI (Unified Extensible Firmware Interface), a BIOS moderna ou até mesmo para infectar novamente o sistema após uma instalação limpa. Recursos de proteção como o Secure Boot não ajudariam, uma vez que eles também dependem do SMM para serem seguros.

O ataque essencialmente quebra as raízes de confiança do hardware, afirmou Domas.

A Intel não respondeu imediatamente ao nosso pedido de comentário sobre o assunto. De acordo com Domas, a fabricante sabe do problema e conseguiu resolvê-lo em suas CPUs mais recentes. A empresa também está liberando updates de firmware para processadores mais antigos, mas nem todos eles podem ser corrigidos, afirmou.

Para conseguir explorar a vulnerabilidade e instalar o rootkit, os invasores precisariam já possuir privilégios de sistema ou kernel em um computador. Isso significa que a falha não pode ser usada sozinha para comprometer um sistema, mas poderia tornar uma infecção existente por malware altamente persistente e completamente invisível.

Domas só testou o exploit com sucesso em processadores da Intel, mas destacou que os processadores x86 feitos pela AMD devem, em teoria, também ser vulneráveis.

Mesmo que atualizações de BIOS/UEFI sejam disponibilizadas pelas fabricantes de PCs, suas taxas de adoção deverão ser muito baixas, especialmente entre os consumidores.

Infelizmente não há muito que os usuários podem fazer, além de tentar não serem infectados por malware que poderiam ganhar privilégios de kernel para aplicar esse rootkit.

 

Fonte:computerworld