NetWorld - Blog

Pesquisadores de segurança da ESET descobriram que o grupo Sednit está fazendo uso do rootkit LoJax, o primeiro para UEFI (Unified Extensible Firmware Interface) usado ativamente em ataques.

ESET alerta para o rootkit LoJax, o primeiro para UEFI usado ativamente em ataques

A descoberta do primeiro rootkit para UEFI usado ativamente em ataques é notável por duas coisas: a primeira é que isso mostra que rootkits para UEFI são uma ameaça real e não apenas um tópico interessante para conferências de segurança; a segunda serve de alerta para empresas e organizações na mira do grupo Sednit, já que isso mostra que ele é bem mais perigoso do que se pensava.

A análise do rootkit LoJax foi apresentada pela ESET no dia 27 de setembro durante a conferência Microsoft BlueHat v18.

Durante um ataque, o rootkit pode ser incorporado no módulo de memória flash SPI do computador alvo. Com isso mesmo se o sistema operacional for reinstalado ou se o disco rígido for substituído, o rootkit continua presente.

Os pesquisadores descobriram que nos sistemas que foram alvo do rootkit LoJax, foram encontradas várias ferramentas capazes de acessar e alterar as configurações de UEFI/BIOS.

Duas das ferramentas encontradas são responsáveis por coletar informações sobre o firmware do sistema e para criação de uma cópia do firmware durante a leitura do módulo de memória flash SPI.

A terceira injeta o código malicioso e grava o firmware comprometido no módulo de memória flash SPI, tornando o malware persistente no computador alvo.

Para acessar as configurações de UEFI/BIOS todas as ferramentas encontradas usam o driver da ferramenta RWEverything, que possibilita a modificação das configurações do firmware de praticamente qualquer hardware. O driver da ferramenta é assinado digitalmente com um certificado válido:

Esta ferramenta usa diferentes técnicas para abusar de plataformas configuradas incorretamente ou para burlar as proteções contra gravação do módulo de memória flash SPI.

Se as operações de gravação forem negadas, a ferramenta explorará uma vulnerabilidade no UEFI identificada como CVE-2014-8273 para burlar suas defesas.

O propósito principal do rootkit é infectar o Windows com malware e se certificar de que ele é executado durante a inicialização do sistema.

A proteção contra o rootkit LoJax é possível habilitando a Inicialização Segura no computador, que verifica se todos os componentes carregados pelo firmware são assinados com um certificado válido.

Como o LoJax não é assinado, a Inicialização Segura pode impedir que ele infecte o sistema operacional.

O artigo com a análise técnica completa da ESET está disponível aqui em PDF.