Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Portátiles Lenovo instalando de nuevo software no deseado desde la BIOS




Lenovo no ha aprendido nada. En febrero de este año, la compañía fue el centro de una tormenta por Superfish, un adware preinstalado de fábrica en sus equipos que podía ser utilizado por terceros para robar información. Pues bien, lo han vuelto a hacer, y esta vez desde la BIOS y modificando hasta el arranque de Windows. El caso es doblemente grave porque, para colar ese Bloatware, Lenovo ha empleado técnicas de Rootkit.  







Una característica recientemente descubierta permiten nuevas computadoras portátiles de Lenovo utilizar las nuevas características de Windows para instalar el software de la compañía y herramientas, incluso si el ordenador se limpió. La rareza se observó por primera vez por Ars Technica foro de usuarios 'ge814' y corroborado por Hacker News usuario chuckup. '

El fabricante de computadoras Lenovo tiene un rootkit BIOS instalado en muchos ordenadores portátiles, de modo que el software propietario estaba presente en el sistema, a pesar de que reinstales Windows desde un DVD limpio.

Esto fue informado por The Next Web por medio de mensajes del foro de Ars Technica y Hacker News. Un usuario descubrió el rootkit en mayo, cuando su nuevo ordenador portátil Lenovo en cada reinicio escribir automáticamente un sistema de archivos.

Lenovo utiliza el servicio de motor de Lenovo, que descarga un programa llamado OneKey Optimizer. El software debe mejorar el rendimiento de su equipo y envía información sobre el sistema de nuevo a Lenovo. En el caso de Windows 7 o 8 comprueba el BIOS de la computadora portátil a la presencia de un archivo denominado Autochk.exe, que luego se sobrescribe con su propia versión. Una vez que se carga el archivo Autochk costumbre, se crean dos nuevos archivos, los archivos que luego adicionales desde Internet.


Antes de iniciar Windows 7 u 8, la BIOS comprueba si el archivo C:\Windows\system32\autochk.exe es el original de Lenovo o el de Microsoft. Si no es el de Lenovo, lo mueve a C:\Windows\system32\0409\zz_sec\autobin.exe, y escribe su propio archivo autochk.exe. Durante el inicio, el archivo autochk.exe credo por Lenovo escribe archivos LenovoUpdate.exe y LenovoCheck.exe en la carpeta system32, y activa los correspondientes servicios para ejecutar uno de ellos cuando esté disponible una conexión a Internet. No se con seguridad qué es lo que hacen esos archivos, pero uno de ellos “telefonea a casa” a la dirección http://download.lenovo.com/ideapad/wind, lo que es un poco preocupante, sobre todo si tenemos en cuenta que es una actualización forzada sobre una página sin SSL. Es muy probable que esa instrucción pueda ser modificada para inyectar código malicioso con solo interceptar la conexión desde una red pública.

A finales de julio, apareció una actualización para el servicio de motor de Lenovo. Una vulnerabilidad entre otros fue descubierto por el investigador de seguridad holandés Roel Schouwenberg, permitiría a los atacantes para instalar a través de un malware servidor malicioso en la actualización del BIOS system.The fue publicado por el Flex 2, Flex 3, G40-80 / G50-80 / G50 -80 Touch / V3000, Yoga y varios otros modelos. Los usuarios necesitan instalar esta actualización de sí mismo, ya que no se despliega automáticamente.


Los usuarios descubrieron el tema en mayo, cuando el uso de un nuevo ordenador portátil de Lenovo que automáticamente y de forma encubierta sobrescribió un archivo de sistema en cada arranque, que descargó un actualizador de Lenovo e instalado el software automáticamente, incluso si Windows se reinstaló desde un DVD.

El único problema es que en realidad nadie preguntó por este software, y persistió entre las instalaciones limpias de Windows. Lenovo fue esencialmente explotando un rootkit en sus propias computadoras portátiles para asegurar su software persiste si se limpian.

BloatWare

Software inflado es un término que se emplea, con connotación tanto neutra como peyorativa, para describir la tendencia reciente de los programas informáticos modernos a ser más grandes y usar mayor cantidad de recursos del sistema (espacio de almacenamiento, capacidad de procesamiento o memoria) que sus versiones predecesoras, sin que de ello se deriven beneficios evidentes para los usuarios finales.

Este término también se usa, de manera más general, para referirse a aplicaciones que parecen usar más recursos del sistema de los que deberían ser necesarios. Al software con este tipo de comportamiento se le denomina: bloatware (inflaware), que en concreto son los programas que se expanden y ocupan mucho más espacio del que justifican las funciones que cumplen: algunos llevan peso muerto metido por los programadores iniciales ("huevos de pascua", o sorpresas); otros instalan sin pedir permiso componentes o partes que el usuario medio jamás utilizará.

Cómo funciona


El mecanismo de disparo esto se llama el servicio de motor de Lenovo, que descarga un programa llamado OneKey Optimizer utiliza para "mejorar el rendimiento del PC mediante la actualización de firmware, drivers y aplicaciones pre-instaladas, así como" archivos de la chatarra de exploración y encontrar los factores que influyen en el rendimiento del sistema ".

También envía "datos del sistema en un servidor Lenovo para ayudarnos a entender cómo los clientes utilizan nuestros productos", pero la compañía dice que no es "información de identificación personal." El problema es que los usuarios no tienen idea de esto está sucediendo y que era muy difícil deshacerse de él.

Si está instalado Windows 7 o 8, el BIOS de la computadora portátil cheques 'C: \ Windows \ system32 \ autochk.exe' para ver si se trata de un archivo de Microsoft o una firmada por Lenovo, entonces sobrescribe el archivo con su propia.

Entonces, cuando el archivo autochk modificado se ejecuta en el arranque, se crean otros dos archivos LenovoUpdate.exe y LenovoCheck.exe, que estableció un servicio y descargar archivos cuando se conecta a internet.


En un boletín de seguridad el 31 de julio que vagamente se refiere a una vulnerabilidad encontrada en el motor de servicio de Lenovo que encontró una manera atacantes podrían explotar el mecanismo mediante el uso de un servidor malicioso para instalar el software.

La compañía emitió un parche para eliminar por completo la funcionalidad entre abril-mayo de 2015, a pesar de que requiere la ejecución manual para desactivar la funcionalidad. Los usuarios no parecen recibir automáticamente.

Permitido por Microsoft


Aquí viene lo bueno: el mecanismo de Lenovo estaba usando en realidad es una técnica sancionada Microsoft, llamado el "Windows Plataforma binario Tabla" por primera vez en noviembre de 2011 y actualizado por primera vez en julio de este año.

El documento sólo tenía dos menciones en línea antes de hoy, uno de una aparente ingeniero de software Lenovo pedir ayuda juguetear con tablas ACPI portátil.

La característica permite a los fabricantes de computadoras para impulsar el software para la instalación de la BIOS del sistema, lo que significa que va a persistir entre las instalaciones de Windows, independientemente de que es una instalación o no limpia.

El documento fue modificado en el descubrimiento de la Lenovo exploit que decir que existe para permitir "software crítico" al igual que "el software anti-robo" a persistir a través de la reinstalación de sistemas operativos, pero, obviamente, los fabricantes de ordenadores como Lenovo tiene una idea diferente de lo que realmente medios (véase también: el tiempo Lenovo instala software que secuestró el tráfico de Internet segura).

Los fabricantes están obligados a garantizar que el mecanismo se puede actualizar si un ataque es descubierto y debe ser desmontable por el usuario, pero las reglas señaladas en el documento son bastante floja y no requieren el OEM para notificar al propietario de la computadora portátil que tal un mecanismo está en su lugar.

Tanto los usuarios reportaron estar confundido acerca de cómo se instaló el software de Lenovo en sus equipos después de realizar una instalación desde un DVD.

Una amplia gama de computadoras portátiles de Lenovo se ven afectados por el tema: Flex 2 Pro-15 / Edge 15 (modelos Broadwell / Haswell), Flex 3-1470 / 1570/1120, G40-80 / G50-80 / G50-80 Touch / V3000 , S21e, S41-70 / U40-70, S435 / M40-35, Yoga 3 14, 3 11 Yoga, Y40-80, Z41-70 / Z51-70 y Z70-80 / G70-80.

Otros fabricantes podrían haber estado usando la técnica sin el conocimiento del usuario, pero no está claro en este momento.

Al menos hay una buena noticia: si usted posee uno de estos portátiles se puede desactivar la función en este momento por la descarga de la utilidad en este enlace. La mala noticia: no se ha hecho ya para usted.

Cuando le preguntamos a Lenovo para hacer comentarios, que nos dirigió de nuevo al boletín que describe el parche. Microsoft está aún por responder con un comentario.

Vale la pena señalar que casi todos los equipos que ejecutan el archivo autochk.exe en el arranque, con un extenso libro blanco publicado a principios de este año en la técnica - esto es sólo la primera vez que hemos visto en acción.

 Cómo quitar el servicio LSE de Lenovo (Rootkit)

Para quitar LSE de las máquinas afectadas es necesario hacerlo manualmente:

  • Ingresar a Lenovo y seleccionar el vínculo apropiado según el modelo de equipo y versión de Windows (32 o 64 bits)
  • Buscar "Lenovo LSE disabler tool" y descargarlo
  • Ejecutar la aplicación para eliminar LSE


Fuentes:
http://thenextweb.com/insider/2015/08/12/lenovo-used-a-hidden-windows-feature-to-ensure-its-software-could-not-be-deleted/

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.