Descubren el primer rootkit diseñado para atacar placas UEFI

La firma de seguridad informática ESET ha dado a conocer el descubrimiento de LoJax, el primer rootkit para placas base con UEFI usado "in the wild", es decir, fuera de condiciones de laboratorio y por parte de terceros. Esta revelación supone un hito, dado que la UEFI fue diseñada para brindar mayor seguridad que la clásica BIOS y, si bien el uso de rootkits para placas UEFI ha sido investigado anteriormente, hasta ahora no se tenía constancia de su uso.

LoJax, que recibe su nombre por compartir código con LoJack, una herramienta diseñada para encontrar portátiles robados, fue descubierto por ESET cuando seguía los pasos del grupo de ciberespionaje Sednit, también conocido como Fancy Bear o APT28. Su descubrimiento fue divulgado durante la conferencia 35C3.

La capacidad para inyectarse en la propia placa base resulta extraordinariamente problemática, puesto que con ello LoJax pueden sortear no solo las inspecciones del clásico antivirus, sino procesos mucho más drásticos como el formateo del disco duro. De esta forma el rootkit adquiere dos de las características más temibles en cualquier malware: discreción y persistencia. Y puesto que permanece en la placa, sustituir el disco duro no sirve de nada. Por contra, solo se consigue vulnerar otra unidad.

Según ESET, LoJax ha sido creado a partir de una versión vulnerable de LoJack lanzada en 2009 y que contenía varios fallos de seguridad importantes, incluyendo un módulo de configuración pobremente protegido. Utilizando este y otros bugs, Sednit/Fancy Bear logró personalizar esta herramienta cuyo despliegue comienza con un ataque por phising o similar para "invitar" a la víctima a descargar un ejecutable que engaña a Internet Explorer para conectarse a un dominio preconfigurado y montar el rootkit.

De acuerdo con los investigadores, LoJax ha sido identificado en varios ataques dirigidos a entidades en los Balcanes, Europa central y del este. Los interesados en conocer más acerca del funcionamiento de la herramienta pueden descargar la documentación (PDF) publicada por ESET.

Fuente: ThreatPost
Esta es gorda, gorda de cojones. Creo que hace poco activé UEFI para un boot desde un usb de windows en 64 bits.. Por si acaso habra que desactivarlo.
Si por eso tienes que desactivarlo, vete quitando también el procesador y buscate un SO de Marte que no tenga vulnerabilidades.
Pues nada, ahora los AV a vender la moto con el tema de proteger el UEFI.
@txeriff es el tipo de bios y no el modo de arranque. Tienes una bios UEFI y punto. Si desactivas el arranque UEFI lo único que vas a conseguir es que no te arranque windows.

Por otra parte veo que el ataque es al computrace, pocas UEFI he visto con esa funcion, Y en sobremesa no existe.
Cada vez va a ser mas difícil protegerse porque cada vez hay mas hackers.

_saludos
Hace tiempo también se demostró que pueden instalarse, no se si en este caso rootkits pero si software espía o malicioso, en el firmware de los discos duros. Incluso se llego a instalar linux en el firm del disco.
La única solución sería actualizar el firmware de la placa, no?
Me hace gracia la gente que pone le grito en el cielo y se alarma con este tipo de posts como si les fuese a pasar algo a ellos.

Tranquilos, a vosotros no os van a robar las fotos del disco duro ni vuestra contraseña del "feisbu".

Empresas como Google, Microsoft, etc... Esos si tienen que tener cuidado. Este tipo de amenazas siempre acaban afectándoles a ellos y a grandes empresas que generan muchos beneficios, o que tienen un arsenal de equipos, que es de donde los hackers pueden sacar dinero.
Maravilloso, actualizar la BIOS de todos los servidores, lo cual significa o perdida de servicio o hacerlo en horas intempestivas
Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]
hit está baneado por "Troll"
No se si reir o llorar

La cosa es que yo el uefi no lo puedo quitar,la opcion en mi placa base sale en gris [facepalm]

@DJSyNcRo En mi pc tengo cosas de mas valor que las "claves de feisbu" o las fotos de aquel verano en oropesa,que tu uses para eso el pc no significa que los demas nos dediquemos a hacer el tonto por con el pc
No entiendo una mierda pero me apasiona leer estas cosas.
Una placa base UEFI, es una placa base UEFI, no puedes desactivarlo, lo único que puedes desactivar, es el BOOT por UEFI y ponerlo en modo LEGACY, pero aún así, la placa sigue siendo UEFI.
Voy a por mi gorro de papel de aluminio
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]


¿Y que es lo que vas a hacer exactamente?
Anda que como seas administrador de 25.000 equipos como dices, mal asunto para la empresa.
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]

Me parece que el problema más que con la UEFI lo tenéis con la marca de vuestros portatiles [qmparto]
Esto es una conspiración para vender placas nuevas ... [sati]

https://youtu.be/N5DCQxTTGpw
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]


Madreeeee pero si Lenovo te instalan ellos mismos rootkit!! ¿De que te preocupas a estas alturas? [facepalm]
The Cure escribió:Esto es una conspiración para vender placas nuevas ... [sati]

https://youtu.be/N5DCQxTTGpw


Ni me extraña [burla2]
m0wly escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]


¿Y que es lo que vas a hacer exactamente?
Anda que como seas administrador de 25.000 equipos como dices, mal asunto para la empresa.


Tengo que mirar si está activado en la BIOS, configurado no está porqué para eso hay que tener un contrato con la empresa que lleva el Computrace ese según acabo de leer. Por lo visto hay una opción en la BIOS para deshabilitarlo permanentemente, si es así simplemente hay que crear un script y desplegarlo en todos los equipos Lenovo para deshabilitar la opción en la BIOS usando la API de Lenovo.

kiras escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]

Me parece que el problema más que con la UEFI lo tenéis con la marca de vuestros portatiles [qmparto]


Por tu mensaje me parece que o no has trabajado nunca en un entorno corporativo o no tienes ni idea de informática. Lenovo es una de las principales marcas en entornos corporativos junto con DELL y HP. Nadie en su sano juicio compra portátiles "consumer" para entornos corporativos. Estoy hablando de ThinkPads, no los modelos normales, esos están a años luz de la gama de empresa.

InToTheRaiN escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]

Madreeeee pero si Lenovo te instalan ellos mismos rootkit!! ¿De que te preocupas a estas alturas? [facepalm]


Todos los equipos en la empresa se reinstalan con una imagen de Windows 10 LTSB supercapada para cumplir los estándares de seguridad. Deshabilitamos la Windows Store, Cortana, toda la mierda de Lenovo, el acceso a Windows Update (usamos WSUS), se activa BitLocker en todos los equipos, etc.
@sergio_93 No tendré ni idea de informatica pero eres tú el que dice que le tenéis que quitar todas las mierdas que trae más lo que le ponéis xdddddd

sergio_93 escribió:Todos los equipos en la empresa se reinstalan con una imagen de Windows 10 LTSB supercapada para cumplir los estándares de seguridad. Deshabilitamos la Windows Store, Cortana, toda la mierda de Lenovo, el acceso a Windows Update (usamos WSUS), se activa BitLocker en todos los equipos, etc.
kiras escribió:@sergio_93 No tendré ni idea de informatica pero eres tú el que dice que le tenéis que quitar todas las mierdas que trae más lo que le ponéis xdddddd


En empresas de medio/gran tamaño existen políticas de seguridad. Nadie deja los equipos tal cuál vienen de fábrica, se reinstalan con una imagen preconfigurada con las aplicaciones de la empresa, Microsoft Office, antivirus corporativo, se añade el equipo al dominio de Active Directory, etc. Es lo primero que sea hace en cualquier empresa seria cuando se recibe un equipo nuevo.

¿Me explicas que tiene de malo Lenovo? ¿Acaso has usado alguna vez un ThinkPad?
hit está baneado por "Troll"
sergio_93 escribió:
kiras escribió:@sergio_93 No tendré ni idea de informatica pero eres tú el que dice que le tenéis que quitar todas las mierdas que trae más lo que le ponéis xdddddd


En empresas de medio/gran tamaño existen políticas de seguridad. Nadie deja los equipos tal cuál vienen de fábrica, se reinstalan con una imagen preconfigurada con las aplicaciones de la empresa, Microsoft Office, antivirus corporativo, se añade el equipo al dominio de Active Directory, etc. Es lo primero que sea hace en cualquier empresa seria cuando se recibe un equipo nuevo.

¿Me explicas que tiene de malo Lenovo? ¿Acaso has usado alguna vez un ThinkPad?


Para ellos que no es de la pc master race y lo que dices es tal cual,llegas a un acuerdo con una marca,pones X equipos y luego los informaticos de turno se encargan de dejarlos bien,las demas opiniones estan basadas en humo
phising o similar para "invitar" a la víctima a descargar un ejecutable que engaña a Internet Explorer para conectarse a un dominio preconfigurado y montar el rootkit.


Ni uso internet explorer y mucho menos abro links desconocidos ..... supongo asi estoy mas seguro que quienes hagan eso y usen el IE
Tiene pinta de ser falso, siendo sincero me parece un saca cuartos a las empresas, [OFF-topic ejemplo] Las gráficas cada vez que se actualiza el driver van peor lo que te fuerzan a comprar nueva, sin contar que los juegos van de pena y piden más HW por no gastar en optimizar como el MHW, 1060 6GB y lo tiro en 1080P LOW/OFF a 40 FPs, indignante y eso sin contar que me pega tirones cada pocos segundos haciéndolo infumable y cuanto más actualizo el driver peor me van los juegos. Así aseguran de forzar a comprar gráficas (y luego se quejan de si las consolas cada poco te hacen comprar nueva). Sobretodo Ubi que se come saquetes de Nvidia. El procesador vale, salio el spectre y meltdown pero, oh, vaya, nuevo parche que reduce rendimiento pero tienes prohibido poner test en internet para comparar y que te compres el ultimo procesador para evitar este problema, claramente otro forzado a comprar procesador nuevo sin necesidad solo porque Intel lo dice....

Y ahora nos salen con esto donde si, como dicen Antivirus (ESET en este caso) se aprovecharan sin servir de nada y los fabricantes de placas te forzaran a comprar una nueva a pesar que no te afecta directamente. Me recuerda a mi placa, me pille una Asrock y sacaron una actualización de BIOS que se cargo varias funciones, en lugar de arreglar el fallo soltaron que compres una placa nueva.

En este mundo manda el dinero y esto es prácticamente eso, ganar dinero, Ostia, ¿que la UE quiere sacarle pasta a las empresas con leyes de copy? pues nosotros también diciendo que cambien todas las placas y a los pocos meses diremos que afecta a todos las placas UEFI. No se porque algo me dice que es así (si, suena paranoico lo que digo pero no me extrañaría sabiendo como van las empresas)


sergio_93 escribió:¿Me explicas que tiene de malo Lenovo? ¿Acaso has usado alguna vez un ThinkPad?


Yo trabaje en un SAT, el 90% de los ordenadores de empresa a reparar eran Lenovo ThinkPad y casi todos eran el mismo caso, chipset o fuente fundida (literalmente calcinadas) si no era eso era por virus y malwares. si, ordenadores de empresa y todo porque les salia más barato y seguían comprando de la misma marca, ¿no ves que todos se joden?, compra otra marca leñe, pero los jefazos solo veían el dinero así que nada.

Donde trabajo ahora la seguridad es excesiva, es como si el articulo 11 y 13 ya hubieran sido aprobados xD, casi todas las webs y el PC bloqueados, solo tengo acceso a navegador y notepad++ para trabajar.
logró personalizar esta herramienta cuyo despliegue comienza con un ataque por phising o similar para "invitar" a la víctima a descargar un ejecutable

Pues no descargueis el ejecutable y ya está [qmparto]
The Cure escribió:Esto es una conspiración para vender placas nuevas ... [sati]

https://youtu.be/N5DCQxTTGpw


Menuda copia cutre del Paranoid de Black Sabbath. La letra muy ingeniosa, eso sí.
mmiiqquueell escribió:Yo trabaje en un SAT, el 90% de los ordenadores de empresa a reparar eran Lenovo ThinkPad y casi todos eran el mismo caso, chipset o fuente fundida (literalmente calcinadas) si no era eso era por virus y malwares. si, ordenadores de empresa y todo porque les salia más barato y seguían comprando de la misma marca, ¿no ves que todos se joden?, compra otra marca leñe, pero los jefazos solo veían el dinero así que nada.


Probablemente la razón por la que recibías tantos portátiles Lenovo para reparar es porqué es la marca más usada en empresas, lo cuál no significa que sea mala, es lógico que si el 70% de empresas usan Lenovo y el 30% usan DELL (por poner un ejemplo) recibas más RMAs de equipos Lenovo que de equipos DELL... XD

Si haces una búsqueda en webs especializadas verás que Lenovo sigue siendo la marca de portátiles más fiable:
https://www.laptopmag.com/articles/laptop-brand-ratings
sergio_93 escribió:
Probablemente la razón por la que recibías tantos portátiles Lenovo para reparar es porqué es la marca más usada en empresas, lo cuál no significa que sea mala, es lógico que si el 70% de empresas usan Lenovo y el 30% usan DELL (por poner un ejemplo) recibas más RMAs de equipos Lenovo que de equipos DELL... XD

Si haces una búsqueda en webs especializadas verás que Lenovo sigue siendo la marca de portátiles más fiable:
https://www.laptopmag.com/articles/laptop-brand-ratings



Pues no, de todas las empresas solo había 2 que usaban lenovo y cada 2 x 3 teníamos que ir a esas 2 a recoger ordenadores fulminados y buscar placas para arreglar o cambiar por otro nuevo, teníamos el SAT lleno de portátiles lenovo, las demás empresas usaban HP, DELL y de lo que más había eran ACER. Ahora donde trabajo usan todo HP, no hay otra marca que no sea HP y aun tengo que ver alguno romperse o fallar.

Quizás debí mencionar que eso fue hace una década cuando los Lenovo tenían un defecto de fabrica que hacia que la placa se doblara por el calor y se rompieran las pistas causando cortocircuitos y motivo de que se fulminara la placa o la fuente.
sergio_93 escribió:
m0wly escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]


¿Y que es lo que vas a hacer exactamente?
Anda que como seas administrador de 25.000 equipos como dices, mal asunto para la empresa.


Tengo que mirar si está activado en la BIOS, configurado no está porqué para eso hay que tener un contrato con la empresa que lleva el Computrace ese según acabo de leer. Por lo visto hay una opción en la BIOS para deshabilitarlo permanentemente, si es así simplemente hay que crear un script y desplegarlo en todos los equipos Lenovo para deshabilitar la opción en la BIOS usando la API de Lenovo.

kiras escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]

Me parece que el problema más que con la UEFI lo tenéis con la marca de vuestros portatiles [qmparto]


Por tu mensaje me parece que o no has trabajado nunca en un entorno corporativo o no tienes ni idea de informática. Lenovo es una de las principales marcas en entornos corporativos junto con DELL y HP. Nadie en su sano juicio compra portátiles "consumer" para entornos corporativos. Estoy hablando de ThinkPads, no los modelos normales, esos están a años luz de la gama de empresa.

InToTheRaiN escribió:
sergio_93 escribió:Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]

Madreeeee pero si Lenovo te instalan ellos mismos rootkit!! ¿De que te preocupas a estas alturas? [facepalm]


Todos los equipos en la empresa se reinstalan con una imagen de Windows 10 LTSB supercapada para cumplir los estándares de seguridad. Deshabilitamos la Windows Store, Cortana, toda la mierda de Lenovo, el acceso a Windows Update (usamos WSUS), se activa BitLocker en todos los equipos, etc.


¿Y tambien quitais los rootkit de lenovo?

Por que nada de lo que has puesto ahi elimina el rootkit de lenovo. Ni la version LTSB, ni deshabilitar las mierdas de windows, ni por activar el bitlocker, etc.

Vamos, que mucho sacar pecho de super departamento de sistemas, pero parece que lo que es un rootkit no lo tenemos claro eh? [facepalm]
InToTheRaiN escribió:¿Y tambien quitais los rootkit de lenovo?

Por que nada de lo que has puesto ahi elimina el rootkit de lenovo. Ni la version LTSB, ni deshabilitar las mierdas de windows, ni por activar el bitlocker, etc.

Vamos, que mucho sacar pecho de super departamento de sistemas, pero parece que lo que es un rootkit no lo tenemos claro eh? [facepalm]


Si te refieres al rootkit que afectaba el Lenovo Service Engine, para el cuál Lenovo sacó una actualización de BIOS que lo desactiva, ni siquiera afectaba a la gama ThinkPad, sólo a la gama consumer.
Infórmate un poco antes de abrir la boca, anda: http://www.zdnet.com/article/lenovo-roo ... e-deleted/
Many Yoga and Flex machines (among others) running Windows 7, Windows 8, and Windows 8.1 are affected by the issue. Business machines, such as Think-branded PCs, are not affected. [+risas]
sergio_93 escribió:
InToTheRaiN escribió:¿Y tambien quitais los rootkit de lenovo?

Por que nada de lo que has puesto ahi elimina el rootkit de lenovo. Ni la version LTSB, ni deshabilitar las mierdas de windows, ni por activar el bitlocker, etc.

Vamos, que mucho sacar pecho de super departamento de sistemas, pero parece que lo que es un rootkit no lo tenemos claro eh? [facepalm]


Si te refieres al rootkit que afectaba el Lenovo Service Engine, para el cuál Lenovo sacó una actualización de BIOS que lo desactiva, ni siquiera afectaba a la gama ThinkPad, sólo a la gama consumer.
Infórmate un poco antes de abrir la boca, anda: http://www.zdnet.com/article/lenovo-roo ... e-deleted/
Many Yoga and Flex machines (among others) running Windows 7, Windows 8, and Windows 8.1 are affected by the issue. Business machines, such as Think-branded PCs, are not affected. [+risas]


Correcto, ese mismo, tienes la noticia en EoL:

noticia_lenovo-vuelve-a-incluir-software-no-solicitado-en-este-caso-desde-la-bios-de-sus-equipos_26979

Que venia de aqui:

noticia_lenovo-instala-de-serie-el-adware-superfish-bajo-una-gran-polemica_25946

Vamos, que despues de saber eso, sigues queriendo poner esa marca, pues no se que pensar, pero vamos, los de sistemas de mi empresa son bastante escrupulosos, cualquier cosa que se sepa que pueda poner en el peligro el cpd, directamente lo quitan, será que a ti te gusta el riesgo... [bye]
InToTheRaiN escribió:Vamos, que despues de saber eso, sigues queriendo poner esa marca, pues no se que pensar, pero vamos, los de sistemas de mi empresa son bastante escrupulosos, cualquier cosa que se sepa que pueda poner en el peligro el cpd, directamente lo quitan, será que a ti te gusta el riesgo... [bye]


Como he dicho antes el rootkit que se encontró en 2015 estaba instalado sólo en modelos de consumo, no en la gama ThinkPad que es la que se usa en empresas, por lo cuál no ha afectado a ningún equipo de mi empresa. Lo cuál no significa que yo esté a favor de que Lenovo meta backdoors en su BIOS... Yo no decido que marca de portátiles se usa en mi empresa, soy un simple empleado. Desde el punto de vista de un administrador de sistemas, los ThinkPad son equipos bastante buenos, de lo mejor del mercado. Lenovo provee un montón de herramientas para automatizar la configuración de la BIOS, paquetes de drivers para SCCM, una herramienta para actualizar drivers y BIOS automáticamente desde un servidor centralizado (ThinInstaller), etc. La mayoría de fabricantes, a excepción de DELL no tienen todas esas cosas y esa es una de las razones por las que usamos equipos Lenovo. Por ejemplo, para deshabilitar Computrace en la BIOS (el cuál viene habilitado pero no configurado en todos los equipos de fábrica por defecto [carcajad]) basta con escribir 3 líneas de código en PowerShell y desplegarlo a todos los equipos a través de SCCM.
33 respuestas