Mercado fechado
  • BOVESPA

    125.052,78
    -1.093,88 (-0,87%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.268,45
    +27,94 (+0,06%)
     
  • PETROLEO CRU

    72,17
    +0,26 (+0,36%)
     
  • OURO

    1.802,10
    -3,30 (-0,18%)
     
  • BTC-USD

    34.789,26
    +1.115,58 (+3,31%)
     
  • CMC Crypto 200

    786,33
    -7,40 (-0,93%)
     
  • S&P500

    4.411,79
    +44,31 (+1,01%)
     
  • DOW JONES

    35.061,55
    +238,20 (+0,68%)
     
  • FTSE

    7.027,58
    +59,28 (+0,85%)
     
  • HANG SENG

    27.321,98
    -401,86 (-1,45%)
     
  • NIKKEI

    27.548,00
    +159,80 (+0,58%)
     
  • NASDAQ

    15.091,25
    +162,75 (+1,09%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1216
    +0,0014 (+0,02%)
     

Falha de segurança expõe 30 milhões de computadores da Dell a ataques

·2 minuto de leitura

30 milhões de computadores da Dell estão vulneráveis a quatro brechas de segurança em um sistema voltado a facilitar o download e instalação de atualizações de firmware. As vulnerabilidades atingem tanto os modelos focados no consumidor quanto máquinas do mercado corporativo, abrindo as portas para ataques direcionados que permitiriam o controle remoto dos PCs.

A descoberta da falha foi feita pela Eclypsium e revelada à Dell, que lança atualização crítica para o sistema nesta quinta-feira (24). Mais especificamente, a brecha está em um sistema chamado BIOSConnect, parte da plataforma SupportAssist da fabricante, que como os nomes indicam, facilitam a detecção de versões desatualizadas de sistemas, componentes e demais dispositivos, realizando o download e a instalação de forma fácil. É uma medida, também, voltada para mitigar riscos de segurança, mas que acabou se tornando um por si só.

Os detalhes da falha não foram divulgados pelos responsáveis, como forma de evitar ataques, mas os especialistas falam em uma vulnerabilidade simples de se explorar e que não segue as melhores práticas de segurança da indústria atual. A brecha é capaz de ultrapassar até mesmo proteções disponíveis no Windows, já que acontece de forma direta na BIOS dos computadores, antes mesmo da execução do sistema operacional.

Ainda que não possa ser utilizada em larga escala, com o envio de atualizações fraudulentas para os usuários ou um comprometimento em massa, a falha é relevante, principalmente, em sistemas corporativos. Como explicam os especialistas da Eclypsium, ela é de um tipo que permite a permanência nos sistemas mesmo com formatações completas e a presença de soluções de segurança.

Por outro lado, para a explorar, os atacantes precisariam estar na mesma rede que a máquina comprometida, realizando um golpe do tipo man in the middle. É um obstáculo a mais, sim, mas que pode valer a pena no caso de alvos valiosos ou computadores usados em redes públicas ou desprotegidas, algo relevante em uma situação na qual os regimes híbridos se tornam a tendência para a maioria das grandes corporações.

Felizmente, o próprio sistema vulnerável deve realizar a aplicação das atualizações, já que ele é, como dito, voltado para o download e instalação automática de updates. Os especialistas, entretanto, recomendam que isso não seja feito, uma vez que é a própria maneira pela qual um ataque pode acontecer — o ideal é que o patch seja baixado a partir do site oficial da Dell e implementado de forma manual, garantindo a integridade da aplicação.

De acordo com a Dell, das quatro falhas encontradas pela Eclypsium, duas não exigem mitigações locais e foram remediadas nos próprios servidores da empresa. Junto com as atualizações, a empresa divulgou uma lista de dispositivos afetados pelas brechas, que inclui mais de 120 modelos de linhas como Inspiron, Latitude, Alienware, XPS e Vostro.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos