Pesquisadores da ESET revelaram nesta semana que 11 aplicações UEFI antigas assinadas pela Microsoft podem ser abusadas para contornar o Secure Boot em praticamente qualquer computador do mundo. A falha não exige uma nova vulnerabilidade: basta uma cópia de um shim antigo, ainda assinado e não revogado, para carregar bootkits como Bootkitty, HybridPetya ou BlackLotus antes mesmo do sistema operacional iniciar — e essa capacidade permanece ativa mesmo após a expiração do certificado “Microsoft Corporation UEFI CA 2011” em 27 de junho de 2026.
Em relatório publicado hoje (14 de julho de 2026), o pesquisador Martin Smolár, da ESET, detalhou como binários shim UEFI antigos — desenvolvidos originalmente para permitir que distribuições Linux inicializassem com Secure Boot ativado — se transformaram em uma porta escancarada para bootkits. Todos os 11 binários identificados foram assinados no passado pela autoridade certificadora da Microsoft, cuja chave “Microsoft Corporation UEFI CA 2011” expirou em 27 de junho de 2026, mas continua embarcada como raiz de confiança em milhões de placas-mãe fabricadas na última década.
O shim é um bootloader leve, de código aberto, que atua como intermediário entre o firmware da placa-mãe e o sistema operacional Linux. Sua função principal é permitir que distribuições Linux carreguem com o Secure Boot ativo, já que ele próprio é assinado por uma chave em que o firmware confia por padrão — geralmente a da Microsoft, cujos certificados vêm pré-instalados na maioria dos dispositivos UEFI.
A sequência de boot funciona assim: o firmware UEFI carrega o shim e valida sua assinatura contra a CA da Microsoft armazenada no firmware. Em seguida, o shim valida o bootloader de segunda etapa (normalmente o GRUB 2) contra o certificado do fornecedor incorporado. Por fim, o GRUB 2 valida o kernel usando o mesmo certificado. A empresa de segurança eslovaca ESET afirma que os shims antigos, mas ainda considerados confiáveis, podem ser explorados para executar código arbitrário durante a inicialização — abrindo caminho para bootkits UEFI como Bootkitty, HybridPetya ou BlackLotus, mesmo com Secure Boot habilitado.
O truque explora a natureza da confiança no ecossistema UEFI. O Linux possui uma lista MOK (Machine Owner Key) que permite ao usuário autorizar drivers não assinados enquanto o Secure Boot está ativo. Uma denylist MOK foi introduzida na versão 0.9 do shim como forma de revogar certificados antigos associados a binários vulneráveis. Mas o que a ESET demonstrou é elegantemente simples: um atacante substitui o shim atualizado da vítima por uma versão antiga, ainda assinada pela Microsoft, e ignora a aplicação da denylist porque a allowlist continua confiando no certificado antigo.
O ataque também subverte o Secure Boot Advanced Targeting (SBAT), mecanismo desenhado para revogar componentes vulneráveis por versão ao invés de manter uma lista massiva de hashes. Como o SBAT age no nível do binário, um shim antigo com uma métrica SBAT desatualizada acaba sendo aceito, permitindo que o invasor obtenha execução de código antes mesmo do carregamento do kernel — posição privilegiada para instalar um bootkit persistente que sobrevive a reinstalações do sistema operacional.
“A questão não é uma vulnerabilidade nova — é que nenhuma vulnerabilidade nova é necessária para contornar o UEFI Secure Boot. O atacante precisa apenas de uma cópia de um shim antigo, ainda confiável e não revogado, e um entendimento básico de como shims UEFI funcionam. Isso é suficiente para contornar um recurso de segurança tão essencial quanto o Secure Boot.”
ESET, em nota técnica
O escopo do problema é praticamente universal. Segundo a ESET, qualquer máquina baseada em UEFI que confie no certificado “Microsoft Corporation UEFI CA 2011” está exposta — independentemente do sistema operacional instalado (Windows, Linux ou variantes). Isso porque a raiz de confiança está no firmware da placa-mãe, não no SO carregado depois. Entre os fornecedores cujos shims antigos foram identificados como abusáveis estão distribuições populares e projetos derivados de terceiros que compilaram versões próprias assinadas pela Microsoft.
A descoberta ilumina um problema estrutural da cadeia de confiança UEFI que já apareceu em incidentes anteriores — BlackLotus (2023) e Bootkitty (2024) exploraram vetores similares para atingir persistência no nível do firmware. O padrão é sempre o mesmo: binários assinados no passado permanecem confiáveis porque atualizar o mecanismo de revogação exige distribuir uma nova versão do banco de dados DBX através dos fabricantes de firmware, um processo lento e fragmentado. Mesmo quando a Microsoft revoga um binário, dezenas de milhões de máquinas continuam operando com a lista antiga por meses ou anos.
Este achado é particularmente inconveniente porque o certificado “2011” expirou em junho, sendo substituído pelo “Microsoft UEFI CA 2023”. A expiração, porém, não retira automaticamente a confiança — ela apenas indica que novas assinaturas não devem ser emitidas com aquela chave. O firmware continua aceitando binários assinados enquanto a chave estiver na lista DB. Trocar a raiz de confiança em produção exigirá atualizações de firmware em cada dispositivo, algo que historicamente leva anos para atingir a maioria da base instalada.
Do ponto de vista defensivo, o ataque preserva uma característica que preocupa: ele não deixa rastros no sistema operacional. Um bootkit UEFI é carregado antes de qualquer solução EDR ou antivírus, e pode filtrar seletivamente o que os sistemas de detecção veem. Combinado com o fato de que, no Brasil, poucas organizações monitoram integridade de firmware, o vetor tende a ficar disponível para atacantes por muito tempo.
Fonte: The Hacker News
Accenture confirmou vazamento após ator anunciar em PwnForums a venda de 35 GB de dados…
Reino Unido e UE atribuíram formalmente ao FSB russo o ataque que quase apagou meio…
World Labs (Fei-Fei Li) levanta US$ 1,2 bi, AMI Labs (LeCun) US$ 1 bi e…
Presidente Lee Jae Myung anuncia pacote de US$ 880 bi de Samsung e SK Hynix…
Cambridge e DIOSynVax publicam Fase I da 1ª vacina universal contra coronavírus totalmente desenhada por…
Aliança Five Eyes publica em maio de 2026 o primeiro guia conjunto sobre IA agêntica:…