Software

Un bookit UEFI mette in pericolo il vostro sistema Windows da nove anni

Come riportato dai colleghi di Bleeping Computer, recentemente è stato scoperto un bootkit UEFI (Unified Extensible Firmware Interface) che potrebbe essere stato utilizzato da eventuali malintenzionati per accedere a sistemi Windows dal 2012.

Ricordiamo che i bootkit sono codici dannosi inseriti nel firmware (a volte destinati a UEFI) invisibili ai software di sicurezza che vengono eseguiti all’interno del sistema operativo, poiché i malware sono progettati per essere caricati nella fase iniziale della sequenza di avvio, quindi prima di tutto il resto.

Hacker

Il bootkit in questione, chiamato ESPecter dai ricercatori di ESET che lo hanno identificato, raggiunge la persistenza sulla partizione di sistema EFI (ESP) dei dispositivi compromessi caricando il proprio driver non firmato per aggirare l’imposizione della firma dei driver di Windows. Martin Smolár e Anton Cherepanov, ricercatori di ESET, hanno affermato:

ESpecter è stato rilevato su una macchina compromessa insieme a un componente client in modalità utente con funzionalità di keylogging e furto di documenti, motivo per cui riteniamo che ESPecter sia utilizzato principalmente per lo spionaggio. È interessante notare che abbiamo rintracciato le radici di questa minaccia almeno nel 2012, in precedenza operando come bootkit per sistemi con BIOS legacy. Il driver dannoso distribuito su computer Windows compromessi viene utilizzato per caricare due payload (WinSys.dll e Client.dll) che possono anche scaricare ed eseguire malware aggiuntivo.

ESET ha anche trovato versioni di ESPecter che prendono di mira le modalità Legacy Boot e ottengono la persistenza alterando il codice MBR trovato nel primo settore fisico dell’unità disco di sistema.

Hacker

Ad ogni modo, l’applicazione di patch al Boot Manager di Windows (bootmgfw.efi) richiede la disattivazione di Secure Boot (che aiuta a verificare se il PC si avvia utilizzando un firmware affidabile). Per raggiungere questo obiettivo, i malintenzionati potrebbero avere sfruttato l’accesso fisico al dispositivo bersaglio oppure una vulnerabilità nota del firmware UEFI su sistemi non aggiornati.