Martin Smolar

**Nome do Software Vulnerável e Versões Afetadas** Spyrus WTGCreator versão 4.2 Baramundi Management Suite versões anteriores a 2024R1 WhiteCanyon WipeDrive versões 8.0.0 a 8.1.3 Finland Matriculation Exam Abitti 1 versão 1.0.0 NTC IT Rosa versões R9 e R10 PC-Doctor Service Center versões 15 e 16 **Descrição** Múltiplos carregadores de inicialização UEFI SHIM assinados pela Microsoft estão sujeitos a um bypass de Secure Boot devido à falta de aplicação e validação do Secure Boot Advanced Targeting (SBAT), um mecanismo utilizado para revogar carregadores de inicialização vulneráveis. Um invasor com privilégios administrativos ou a capacidade de modificar o processo de boot pode utilizar esses carregadores para contornar as proteções do Secure Boot e executar código arbitrário antes do carregamento do sistema operacional. **Recomendações** Aplique a atualização específica do UEFI DBX para bloquear os carregadores de inicialização vulneráveis em todas as versões afetadas.

**Nome do Software Vulnerável e Versões Afetadas** Aplicativo UEFI Howyar "Reloader" (32 bits e 64 bits) versões anteriores a janeiro de 2025 **Descrição** Existe uma vulnerabilidade no Aplicativo UEFI Howyar "Reloader" que permite a execução de software não assinado em um caminho fixo no código. Esta falha, identificada como CVE-2024-7344, contorna as proteções do Secure Boot do UEFI, potencialmente permitindo a instalação de bootkits maliciosos. Uma nova cepa de ransomware, HybridPetya, foi observada explorando esta vulnerabilidade para ganhar persistência e criptografar sistemas. O HybridPetya imita o comportamento do ransomware Petya/NotPetya, criptografando a Tabela Mestra de Arquivos (MFT) do NTFS e exigindo um pagamento de resgate. Embora o HybridPetya ainda não tenha sido amplamente implantado em ataques ativos, suas capacidades sugerem um potencial de ameaça significativo. A vulnerabilidade reside em um aplicativo UEFI assinado pela Microsoft, impactando uma variedade de sistemas. A exploração desta vulnerabilidade permite que invasores obtenham controle no nível de inicialização, potencialmente contornando medidas de segurança no nível do sistema operacional. **Recomendações** Aplique a atualização do banco de dados de revogação UEFI de janeiro de 2025. Verifique a presença do arquivo 'cloak.dat'. Rotacione as chaves do Secure Boot, se necessário. Aplique atualizações para a CVE-2024-7344. Certifique-se de que o Secure Boot esteja habilitado e configurado corretamente. Monitore a integridade do firmware usando ferramentas como UEFI Scanner ou CHIPSEC. Mantenha backups offline tanto dos dados quanto das configurações do firmware.

**Nome do Software Vulnerável e Versões Afetadas** Windows (versões afetadas não especificadas) **Descrição** Um problema de bypass de recurso de segurança existe na implementação do Secure Boot dos sistemas operativos Windows. O problema está relacionado com erros no acesso a funções de depuração durante o processo de arranque, o que pode permitir que um atacante ignore as restrições de segurança existentes. Especificamente, uma técnica conhecida como bitpixie pode ser utilizada para provocar um erro de arranque e ler a chave de desencriptação do BitLocker na memória, pois o carregador de arranque (bootloader) não a apaga. Atacantes podem contornar as proteções do Secure Boot ao fazer o downgrade do carregador de arranque para uma versão vulnerável para explorar esta falha de leitura de memória. Isto pode ser feito sem a desmontagem física do dispositivo, por exemplo, utilizando um cabo LAN para simular um servidor TFTP PXE para entregar um carregador de arranque degradado. **Recomendações** Instale as atualizações de segurança de 8 de julho de 2025 para todas as versões suportadas do Windows. Após instalar as atualizações, siga as etapas do KB5025885 para ativar manualmente as mitigações para as revogações do Windows Boot Manager. Como solução temporária, suspenda o BitLocker e desative o Secure Boot nas definições de BIOS/UEFI.

**Nome do software vulnerável e versões afetadas** Notebooks Acer (versões afetadas não especificadas) **Descrição** O problema diz respeito a uma vulnerabilidade no driver HQSwSmiDxe DXE que pode permitir que um invasor com privilégios elevados modifique as configurações de inicialização segura (Secure Boot) da UEFI alterando uma variável da NVRAM. Isso poderia ser potencialmente explorado para desativar a proteção de inicialização segura, permitindo que invasores interceptem o processo de inicialização do sistema operacional, carreguem bootloaders não assinados e implantem cargas maliciosas com privilégios de sistema. A vulnerabilidade pode ser explorada em ataques de baixa complexidade, sem exigir interação do usuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. No entanto, a Acer recomenda atualizar o BIOS para a versão mais recente. Como alternativa, os clientes podem instalar manualmente a atualização nos sistemas vulneráveis.