
Os pesquisadores descobriram vários firmware não assinados em vários componentes do sistema, como adaptadores WiFi, hubs USB, trackpads e câmeras usadas na Lenovo, Dell, HP e outros fabricantes importantes.
As falhas existentes nesses componentes permitiram aos invasores comprometer milhões de Windows e sistemas Linux, e filtram os dados, interrompem a operação e também implantam o malware.
Depois que os componentes do firmware são infectados, os invasores podem implantar malware que não é detectado por nenhum controle de segurança de software.
O principal problema da falha é que muitos dos dispositivos periféricos não verificam se o firmware está devidamente assinado com uma chave pública / privada de alta qualidade antes de executar o código.
Isso significa que esses componentes da lista acima não têm como validar se o firmware carregado pelo dispositivo está devidamente autenticado e confiável.
Pode tirar proveito do invasor e simplesmente inserir uma imagem de firmware maliciosa ou vulnerável que, eventualmente, confia cegamente no componente e deixa que ele seja executado no dispositivo.
Como resultado, o firmware não assinado em adaptadores wifi, hubs USB, trackpads, câmeras de laptop e placas de interface de rede fornece vários caminhos para invasores mal-intencionados comprometerem laptops e servidores.
Os pesquisadores explicam o seguinte cenário muito simples e poderoso para um ataque:
- Um invasor obtém acesso a um dispositivo por qualquer método, como malware entregue por e-mail ou site malicioso ou um ataque de empregada doméstica. Com privilégios básicos de usuário, o invasor / malware pode gravar firmware mal-intencionado em um componente vulnerável.
- Se o componente não exigir que o firmware seja assinado corretamente, o código do invasor será carregado e executado pelo componente.
- O invasor pode usar a funcionalidade e os privilégios exclusivos desse componente para promover um ataque.
Por exemplo, se o firmware mal-intencionado for implantado no adaptador de rede, ele permitirá que os invasores chequem, copiem, redirecionem ou alterem o tráfego, causando perda de dados, ataques intermediários e outros.
Firmware inseguro em periféricos
Pesquisadores da Eclypsium explicam alguns dos firmware vulneráveis em várias marcas de computadores, como Lenovo, Dell e adaptador USB.
Touchpad e Firmware TrackPoint em laptops Lenovo:
Os pesquisadores analisaram um laptop Lenovo ThinkPad X1 Carbon 6th Gen que usava o seguinte firmware.
- Firmware do touchpad: pr2812761-tm3288-011-0808.img
- Firmware do TrackPoint: PSG5E5_RANKA_fv06.bin
O firmware contém um mecanismo de atualização inseguro e não requer nenhuma verificação de assinatura criptográfica antes de aplicar a atualização do firmware.
Possivelmente, os invasores modificaram as imagens do firmware por meio de software para executar códigos maliciosos arbitrários dentro desses componentes.
Firmware da câmera HP Wide Vision FHD em laptops HP: –
Uma atualização de firmware distribuída pelos componentes HP não era criptografada e não possuía verificação de autenticidade.
Além disso, esse firmware não contém nenhuma forma de assinatura criptográfica ou outras informações de autenticidade.
“Os pesquisadores confirmaram essa vulnerabilidade modificando os descritores USB em um dispositivo que foi atualizado com a ferramenta. Nota especial, o atualizador de firmware SunplusIT pode atualizar com êxito um dispositivo, mesmo como um usuário normal. As atualizações de firmware devem exigir acesso de administrador. ”
Adaptador WiFi no laptop Dell XPS: –
Durante esta pesquisa, especialistas demonstram a falha que permite modificar o firmware do adaptador WiFi em laptops Dell XPS 15 9560 executando Windows 10)

Nesta imagem acima, a imagem do firmware do adaptador WiFi é assinada corretamente pelos drivers e também exibiu o pequeno ícone de certificado.
Depois que os pesquisadores modificaram a imagem do firmware do adaptador Wifi, o ícone do certificado desapareceu.

Demonstração:
Os pesquisadores testaram o firmware não assinado em um chipset da placa de interface de rede (NIC), no qual especificamente o chipset Broadcom BCM5719 na NIC foi usado nesta demonstração e é comumente usado em servidores de geração atual de vários fabricantes.
Nesta demonstração, os pesquisadores interceptam o conteúdo dos pacotes de rede da BMC, fornecem esses conteúdos para malware em execução no host e também foram capazes de modificar o tráfego da BMC online.
Um ataque malicioso a uma NIC pode ter um impacto profundo no servidor, comprometendo o sistema operacional remotamente, fornecendo um backdoor remoto, espionando e exfiltrando o tráfego bruto da rede e ignorando os firewalls do sistema operacional para extrair dados ou fornecer ransomware.
Essas falhas críticas indicam claramente que o firmware não assinado pode levar à perda de dados, integridade e privacidade, e pode permitir que os invasores obtenham privilégios e se escondam dos controles de segurança tradicionais.
Siga-nos no Twitter, Linkedin, Facebook para atualizações diárias de segurança cibernética e hackers.
Leia também: Lista de verificação mais importante dos testes de penetração de rede