A Dell, uma das maiores fabricantes de computadores do mundo, confirmou que algumas placas-mãe usadas para substituir peças defeituosas em servidores rack PowerEdge vinham contaminadas com vírus em seu firmware, o software que controla a operação da placa. Especialistas já tinham criado hipóteses e alertado sobre vírus desse tipo; argentinos chegaram a criar um vírus-conceito, mas essa é a primeira notícia pública de um ataque dessa natureza e que muda a ideia da inexistência de vírus em hardware.
Vírus em placas-mãe não podem ser removidos com a formatação do disco rígido. A Dell confirmou que algumas placas-mãe usadas para substituir peças defeituosas em alguns modelos de servidores do contém um código malicioso no firmware – o software semipersistente que gerencia a lógica da placa. O firmware em questão também é usado para a administração do servidor: em muitos casos, milhares de servidores precisam ser administrados ao mesmo tempo, e o software na placa-mãe facilita isso. Era nesse espaço que o vírus estava alojado. A ação do vírus em si é desconhecida, mas apenas servidores com Windows foram afetados.
A empresa confirmou a existência do problema no fórum público de suporte técnico. Os modelos afetados são PowerEdge R310, PowerEdge R410, PowerEdge R510 e PowerEdge T410. Apenas placas-mãe usadas para substituir computadores que tiveram defeito contém o vírus, segundo a Dell. Nenhum servidor teria sido vendido infectado. O problema apenas se manifesta em algumas configurações específicas.
A empresa não forneceu informações a respeito das do comportamento da praga, mas afirmou que está entrando em contato com todos os clientes que receberam placas defeituosas.
Embora a distribuição de vírus junto com pen drives e MP3 players já tenham sido registradas algumas vezes, não há nenhum vírus sequer conhecido que atue ou infecte firmwares de placas-mãe, exceto algumas pragas feitas em laboratório para provar que isso é possível. É a primeira notícia pública de um ataque desse tipo em uma escala considerável.
Um vírus desse tipo não poderia ser removido com a formatação do disco rígido. Apenas a reprogramação do firmware seria capaz de eliminar a praga definitivamente. Felizmente, ainda trata-se de um caso isolado.
Além de usar uma brecha sem correção e ter como alvo um tipo de software crítico, o vírus ainda se instalava como drivers de sistema. Os drivers estavam assinados como pertencentes à fabricante de chips Realtek. O certificado da Realtek já foi revogado.
Isso significa que o ataque está entre os mais sofisticados, sendo provavelmente classificável como uma ameaça avançada persistente.
A Microsoft já lançou uma correção temporária para o problema, mas a coluna não recomenda que ela seja aplicada. Os ataques ainda estão muito restritos e a “correção” causa problemas com os ícones de atalhos no Windows, o que significa que grande parte dos itens na área de trabalho e menu iniciar terão problemas.
INFO
Nenhum comentário:
Postar um comentário