Falha crítica em webcams Lenovo baseados em Linux permite ataque BadUSB

Pesquisadores da empresa Eclypsium revelaram uma descoberta alarmante: vulnerabilidades críticas em modelos selecionados de webcams da Lenovo podem permitir que elas sejam transformadas remotamente em dispositivos de ataque BadUSB.

"Isso permite que invasores remotos injetem pressionamentos de tecla de forma secreta e lancem ataques independentes do sistema operacional do hospedeiro", afirmaram Paul Asadoorian, Mickey Shkatov e Jesse Michael, pesquisadores da Eclypsium, em um relatório.

A falha, batizada de BadCam (CVE-2025-4371) pela empresa de segurança de firmware, foi apresentada hoje na prestigiada conferência de segurança DEF CON 33. A descoberta marca o que provavelmente é a primeira vez que foi demonstrado que hackers que obtêm controle de um periférico USB baseado em Linux, já conectado a um computador, podem armá-lo para fins maliciosos.

O que é um Ataque BadUSB?

Demonstrado pela primeira vez há mais de uma década na conferência Black Hat de 2014, o BadUSB é um ataque que explora uma vulnerabilidade inerente ao firmware de dispositivos USB. Essencialmente, o ataque reprograma o dispositivo para que ele se passe por outro, como um teclado, e execute discretamente comandos ou programas maliciosos no computador da vítima.

"Ao contrário do malware tradicional, que reside no sistema de arquivos e pode ser detectado por ferramentas antivírus, o BadUSB vive na camada de firmware", explica a empresa Ivanti. "Uma vez conectado, um dispositivo BadUSB pode emular um teclado para digitar comandos maliciosos, instalar backdoors, redirecionar o tráfego de internet e extrair dados sensíveis."

Nos últimos anos, o FBI e o Mandiant (propriedade do Google) alertaram que o grupo hacker com motivação financeira FIN7 tem utilizado dispositivos BadUSB, enviados por correio, para instalar o malware DICELOADER em organizações nos EUA.

A descoberta da Eclypsium representa uma escalada significativa na ameaça. Ela mostra que um periférico comum, como uma webcam rodando Linux, que não foi inicialmente projetado para ser malicioso, pode se tornar um vetor para um ataque BadUSB. O mais preocupante é que esses dispositivos podem ser sequestrados e transformados remotamente, sem nunca serem fisicamente desconectados ou substituídos.

"Um invasor que obtém execução remota de código em um sistema pode regravar o firmware de uma webcam conectada que utiliza Linux, redirecionando-a para se comportar como um dispositivo de interface humana (HID) malicioso ou para emular dispositivos USB adicionais", explicaram os pesquisadores.

Uma vez armada, a webcam, aparentemente inofensiva, pode:

• Injetar sequências de teclas para instalar malware.

• Entregar payloads maliciosos.

• Servir como um ponto de apoio para uma persistência mais profunda no sistema.

Tudo isso enquanto mantém a aparência exterior e a funcionalidade principal de uma câmera padrão. Além disso, um hacker com a capacidade de modificar o firmware pode alcançar um nível de persistência que lhe permite reinfectar o computador da vítima com malware, mesmo depois que o sistema operacional tenha sido formatado e reinstalado.

As vulnerabilidades foram descobertas nas webcams Lenovo 510 FHD e Lenovo Performance FHD. O problema central é que esses dispositivos não validam a autenticidade do firmware, o que os torna suscetíveis a um comprometimento completo do software da câmera através de ataques no estilo BadUSB, dado que rodam Linux com suporte a USB Gadget.

Após a divulgação responsável feita pela Eclypsium à Lenovo em abril de 2025, a fabricante de PCs agiu rapidamente. A Lenovo já lançou atualizações de firmware (versão 4.8.0) para mitigar as vulnerabilidades e trabalhou com a empresa chinesa SigmaStar para lançar uma ferramenta que corrige o problema.

"Este ataque, inédito em sua categoria, destaca um vetor sutil, mas profundamente problemático: computadores corporativos e de consumo frequentemente confiam em seus periféricos, mesmo quando esses periféricos são capazes de executar seus próprios sistemas operacionais e aceitar instruções remotas", concluiu a Eclypsium.

Via - THN