Os desenvolvedores do Linux estão no processo de corrigir uma vulnerabilidade de alta gravidade que, em certos casos, permite a instalação de malware executado no nível do firmware, dando às infecções acesso às partes mais profundas de um dispositivo onde são difíceis de detectar ou remover. .
A vulnerabilidade reside no shim, que no contexto do Linux é um pequeno componente executado no firmware no início do processo de inicialização, antes do sistema operacional ser iniciado. Mais especificamente, o shim que acompanha praticamente todas as distribuições Linux desempenha um papel crucial na inicialização segura, uma proteção integrada na maioria dos dispositivos de computação modernos para garantir que cada link no processo de inicialização venha de um fornecedor verificado e confiável.
A exploração bem-sucedida da vulnerabilidade permite que os invasores neutralizem esse mecanismo executando firmware malicioso nos estágios iniciais do processo de inicialização, antes que o firmware da Interface de Firmware Extensível Unificada seja carregado e entregue o controle ao sistema operacional.
Vulnerabilidade crítica que afeta a maioria das distribuições Linux permite bootkits
“Um invasor precisaria ser capaz de forçar um sistema a inicializar a partir de HTTP, se ainda não o estivesse fazendo, e estar em posição de executar o servidor HTTP em questão ou o tráfego MITM para ele”, Matthew Garrett, desenvolvedor de segurança e um dos autores originais do calço, escreveu em uma entrevista online. “Um invasor (fisicamente presente ou que já tenha comprometido o root no sistema) poderia usar isso para subverter a inicialização segura (adicionar uma nova entrada de inicialização a um servidor que ele controla, comprometer o shim, executar código arbitrário).”
Dito de outra forma, esses cenários incluem:
Adquirir a capacidade de comprometer um servidor ou executar uma representação de adversário intermediário para atingir um dispositivo que já está configurado para inicializar usando HTTP
Já ter acesso físico a um dispositivo ou obter controle administrativo explorando uma vulnerabilidade separada.
Embora esses obstáculos sejam grandes, eles não são de forma alguma impossíveis, especialmente a capacidade de comprometer ou personificar um servidor que se comunica com dispositivos por HTTP, que não é criptografado e não requer autenticação. Esses cenários específicos podem ser úteis se um invasor já tiver obtido algum nível de acesso dentro de uma rede e quiser assumir o controle dos dispositivos conectados do usuário final.
Esses cenários, no entanto, serão amplamente solucionados se os servidores usarem HTTPS, a variante do HTTP que exige que um servidor se autentique. Nesse caso, o invasor teria primeiro que falsificar o certificado digital que o servidor usa para provar que está autorizado a fornecer firmware de inicialização aos dispositivos.
A capacidade de obter acesso físico a um dispositivo também é difícil e é amplamente considerada como motivo para considerá-lo já comprometido. E, claro, obter controle administrativo através da exploração de uma vulnerabilidade separada no sistema operacional é difícil e permite que os invasores atinjam todos os tipos de objetivos maliciosos.