Secure Boot é inútil em centenas de PCs de grandes fornecedores após vazamento de chave
Infosec em resumo Proteger o BIOS e o processo de inicialização dos computadores é essencial para a segurança moderna, mas saber que isso é importante não é o mesmo que realmente tomar medidas para fazê-lo.
Por exemplo, tomemos a investigação Publicados na semana passada por especialistas em segurança do fornecedor de segurança de firmware Binarily. Os pesquisadores descobriram centenas de PCs vendidos pela Dell, Acer, Fujitsu, Gigabyte, HP, Lenovo e Supermicro – e componentes vendidos pela Intel – usando o que parece ser uma chave de plataforma de teste (PK) de 12 anos vazada em 2022 para proteger suas implementações de inicialização segura UEFI.
“Um invasor com acesso à parte privada do PK pode facilmente ignorar o Secure Boot manipulando o banco de dados de chaves do Key Exchange, o banco de dados de assinaturas e o banco de dados de assinaturas proibidas”, escreveram os especialistas do Binarily.
E não é como se os fabricantes que usaram o PK ofensivo não tivessem motivos para saber que ele não era confiável e não deveria ser usado fora do laboratório: isso estava escrito na embalagem.
“Essas chaves de teste têm fortes indícios de não serem confiáveis”, observou Binarily. “Por exemplo, o emissor do certificado contém as strings ‘DO NOT TRUST’ ou ‘DO NOT SHIP’.”
De acordo com a Binarily, mais de dez por cento das imagens de firmware em seu conjunto de dados são vulneráveis à exploração com o PK não confiável – que foi emitido pela American Megatrends International, possivelmente já em maio de 2012. Os pesquisadores observaram que isso torna esse problema “um dos mais duradouros [supply chain vulnerabilities] de seu tipo.”
Se um invasor utilizasse a PK em um ataque, ele poderia executar código não confiável durante o processo de inicialização, mesmo com a Inicialização Segura habilitada.
“Isso compromete toda a cadeia de segurança, do firmware ao sistema operacional”, acrescentou Binarily.
A Binarily lançou um ferramenta de digitalização gratuita para verificar sistemas em busca de vulnerabilidade ao que ele chama de “PKFail”. Executá-lo parece uma ação sensata. Quanto à correção desse problema, os fabricantes de dispositivos precisarão se esforçar.
Vulnerabilidades críticas da semana: Que KEV é como velho?
Começamos esta semana com um novo relatório de uma vulnerabilidade muito antiga que está sendo explorada na natureza.
De acordo com o NIST, uma vulnerabilidade de uso após liberação nas versões 6 a 8 do Internet Explorer que permite que invasores remotos executem código arbitrário – primeiro detectado e identificado na natureza em 2012 – é ainda sendo explorado hoje.
Se, por algum motivo, você ainda tem uma máquina executando o IE 6 a 8, talvez seja hora de deixá-la de lado?
Também vale a pena destacar um quarteto de vulnerabilidades identificadas no sistema DNS Berkeley Internet Name Domain 9, sinalizadas na semana passada pelo Internet Systems Consortium (CVE-2024-4076, CVE-2024-1975, CVE-2024-1737, CVE-2024-0760).
Se exploradas, essas falhas podem levar à negação de serviço. Embora não sejam tão críticas quanto outras vulnerabilidades, o fato de estarem no nível DNS justifica a instalação desses patches o mais rápido possível.
Outro fornecedor de stalkerware foi violado
Parece que podemos mal vai duas semanas sem que outro fornecedor de stalkerware seja violado, mas aqui estamos. TechCrunch foi entregue um monte de arquivos roubados da SpyTech, sediada em Minnesota, na semana passada.
Os arquivos – que foram supostamente verificados como autênticos – foram instalados em telefones, tablets e computadores monitorados pelo software SpyTech, que monitora secretamente as máquinas para espionar o que seus usuários estão fazendo. Dados pertencentes a mais de 10.000 dispositivos foram encontrados desde 2013.
Curiosamente, o CEO da SpyTech supostamente não estava ciente da violação quando perguntado sobre ela — o que só mostra que essas lojas estão mais interessadas em ganhar dinheiro do que em proteger os dados privados que coletam em nome dos clientes.
… E ligue o MFA enquanto você estiver nisso
Pesquisadores de segurança da Cisco Talos divulgaram seu relatório trimestral sobre tendências de resposta a incidentes na semana passada, e uma tendência surpreendente se destaca: cerca de 80% dos ataques de ransomware no segundo trimestre ocorreram em organizações cujos sistemas não empregavam autenticação multifator.
E aqui nós pensamos Floco de neve poderia ter ensinado algo ao mundo.
Credenciais comprometidas têm sido a forma mais popular de obter acesso inicial pelo terceiro trimestre consecutivo, observou Talos – assim como o que causou todas aquelas falhas do Snowflake.
Os engajamentos de ransomware como um todo aumentaram 22% do primeiro para o segundo trimestre, respondendo por 30% de todos os incidentes aos quais a Talos respondeu. Combinado com o aumento de ataques usando credenciais roubadas e contando com a falta de MFA, talvez seja uma boa ideia gastar algum tempo esta semana habilitando-o para todos – sem exceções.
TracFone multada em US$ 16 milhões por três violações
A subsidiária da Verizon, TracFone, concordou em pagar à FCC US$ 16 milhões para encerrar as investigações sobre três violações de dados sofridas pela empresa entre 2021 e 2023.
De acordo com a FCC, a TracFone falhou em proteger várias de suas APIs de banco de dados de clientes, resultando em criminosos roubando informações de contas e dispositivos de clientes, bem como informações pessoalmente identificáveis. As violações resultaram em “numerosas portabilidades não autorizadas”.
Não deve ser confundido com Trocas de SIM – outro golpe que a maioria das operadoras é péssima em prevenir – port outs envolvem a transferência de um número para uma operadora completamente diferente. Ambos dão aos invasores controle sobre os dispositivos dos clientes.
A TracFone foi obrigada a implementar programas obrigatórios de segurança cibernética “com novas disposições para reduzir vulnerabilidades de API”, bem como proteções de troca e portabilidade de SIM. ®
