Os perigos ocultos de nove vulnerabilidades UEFI em data centers e nuvens
A prevalência de vulnerabilidades no firmware UEFI de vários fabricantes proeminentes permite que um ator nefasto que obteve acesso não autorizado a uma rede comprometa dispositivos através da implantação de código malicioso residente no nível do firmware.
A equipe de pesquisa do QuarksLab cunhou esta vulnerabilidade como “PixieFail” e considera que ela representa um risco significativo tanto para os data centers quanto para os ambientes de computação em nuvem. Existe a possibilidade de um indivíduo com acesso mínimo à rede, como um cliente pagante, um funcionário iniciante ou um intruso preexistente no sistema, poder explorar pontos fracos para infectar dispositivos interconectados com código UEFI malévolo.
Unified Extensible Firmware Interface (UEFI), abreviado de seu nome completo, desempenha um papel fundamental no início do processo de inicialização de sistemas de computadores pessoais contemporâneos, ao mesmo tempo que funciona como uma ponte de ligação entre hardware e software. No entanto, se firmware malévolo for instalado e executado clandestinamente antes do sistema operacional, os antivírus convencionais e as medidas de segurança de endpoint não serão capazes de detectar ou eliminar tais ameaças. Estas entidades maliciosas concedem acesso não autorizado a dispositivos comprometidos e exercem uma influência considerável sobre as suas operações.
PixieFail, cuidado com o ambiente de execução pré-inicialização ao operar com IPv6
A presença de nove vulnerabilidades chamadas coletivamente de “PixieFail” foi identificada no TianoCoreEDK II, uma implementação de código aberto amplamente utilizada de Unified Extensible Firmware Interface (UEFI), que suporta várias plataformas, incluindo aquelas baseadas em Arm, Insyde, AMI, Phoenix Tecnologias e Microsoft. Essas vulnerabilidades referem-se especificamente a pontos fracos no esquema de endereçamento IPv6, que podem ser potencialmente explorados durante o Preboot Execution Environment (PXE) quando este protocolo é empregado.
PXE, também conhecido como Pixieboot ou Netboot, é um mecanismo amplamente utilizado para iniciar uma infinidade de dispositivos em vastas frotas de veículos, com o cenário típico envolvendo vários servidores encontrados em data centers. O sistema foi desenvolvido para garantir operação perfeita, consistência e adesão a padrões de alta qualidade onipresentes em data centers e ecossistemas de nuvem.
O PXE elimina a necessidade de armazenar um sistema operacional em dispositivos individuais, hospedando-o centralmente em um servidor designado conhecido como “servidor de inicialização”. Ao iniciar a operação, os dispositivos buscarão este servidor de boot através do Dynamic Host Configuration Protocol (DHCP) para obter o software necessário ao funcionamento. Ao empregar esta metodologia, quaisquer atualizações ou modificações necessárias para o sistema operacional podem ser executadas exclusivamente no local centralizado, garantindo que todos os servidores conectados utilizem consistentemente a versão idêntica em cada reinicialização.
As vulnerabilidades PixieFail permitem que um criminoso manipule o servidor iSNS para recuperar uma imagem de firmware malévola em vez da pretendida. Nesta situação, a imagem nefasta serve como um meio para estabelecer um ponto de acesso persistente no dispositivo previamente implantado, onde o sistema operacional é carregado posteriormente, seguido por qualquer software de segurança que normalmente identificaria e mitigaria tais atividades não autorizadas.
Deve-se enfatizar que, para aproveitar o PixieFail, é necessário possuir a capacidade de interceptar e adquirir tráfego de rede, o que requer níveis mínimos de privilégio, como acesso legítimo a uma conta de serviço em nuvem. No entanto, é crucial reconhecer que o PixieFail só pode ser utilizado quando o mecanismo Preboot Execution Environment (PXE) estiver ativado e configurado para empregar roteamento IPv6. Normalmente, o PXE é restrito a data centers e configurações baseadas em nuvem, em vez de ser empregado em dispositivos individuais onde permanece inativo.
Os fornecedores de UEFI estão desenvolvendo patches que pretendem enviar aos seus clientes para distribuição aos usuários finais. Essa abordagem pode ser atraente, pois aborda uma questão importante para administradores de redes e data centers, considerando que poucos indivíduos utilizam a função PXE em apenas um dispositivo.
*️⃣ Link da fonte: