Descubren el primer rootkit diseñado para atacar placas UEFI

Alejo I
15 18 33
Noticias » Tecnología
La firma de seguridad informática ESET ha dado a conocer el descubrimiento de LoJax, el primer rootkit para placas base con UEFI usado "in the wild", es decir, fuera de condiciones de laboratorio y por parte de terceros. Esta revelación supone un hito, dado que la UEFI fue diseñada para brindar mayor seguridad que la clásica BIOS y, si bien el uso de rootkits para placas UEFI ha sido investigado anteriormente, hasta ahora no se tenía constancia de su uso.

LoJax, que recibe su nombre por compartir código con LoJack, una herramienta diseñada para encontrar portátiles robados, fue descubierto por ESET cuando seguía los pasos del grupo de ciberespionaje Sednit, también conocido como Fancy Bear o APT28. Su descubrimiento fue divulgado durante la conferencia 35C3.

La capacidad para inyectarse en la propia placa base resulta extraordinariamente problemática, puesto que con ello LoJax pueden sortear no solo las inspecciones del clásico antivirus, sino procesos mucho más drásticos como el formateo del disco duro. De esta forma el rootkit adquiere dos de las características más temibles en cualquier malware: discreción y persistencia. Y puesto que permanece en la placa, sustituir el disco duro no sirve de nada. Por contra, solo se consigue vulnerar otra unidad.

Según ESET, LoJax ha sido creado a partir de una versión vulnerable de LoJack lanzada en 2009 y que contenía varios fallos de seguridad importantes, incluyendo un módulo de configuración pobremente protegido. Utilizando este y otros bugs, Sednit/Fancy Bear logró personalizar esta herramienta cuyo despliegue comienza con un ataque por phising o similar para "invitar" a la víctima a descargar un ejecutable que engaña a Internet Explorer para conectarse a un dominio preconfigurado y montar el rootkit.

De acuerdo con los investigadores, LoJax ha sido identificado en varios ataques dirigidos a entidades en los Balcanes, Europa central y del este. Los interesados en conocer más acerca del funcionamiento de la herramienta pueden descargar la documentación (PDF) publicada por ESET.
33 comentarios
  1. Esta es gorda, gorda de cojones. Creo que hace poco activé UEFI para un boot desde un usb de windows en 64 bits.. Por si acaso habra que desactivarlo.
  2. Si por eso tienes que desactivarlo, vete quitando también el procesador y buscate un SO de Marte que no tenga vulnerabilidades.
  3. Pues nada, ahora los AV a vender la moto con el tema de proteger el UEFI.
  4. @txeriff es el tipo de bios y no el modo de arranque. Tienes una bios UEFI y punto. Si desactivas el arranque UEFI lo único que vas a conseguir es que no te arranque windows.

    Por otra parte veo que el ataque es al computrace, pocas UEFI he visto con esa funcion, Y en sobremesa no existe.
  5. Cada vez va a ser mas difícil protegerse porque cada vez hay mas hackers.

    _saludos
  6. Hace tiempo también se demostró que pueden instalarse, no se si en este caso rootkits pero si software espía o malicioso, en el firmware de los discos duros. Incluso se llego a instalar linux en el firm del disco.
  7. La única solución sería actualizar el firmware de la placa, no?
  8. Me hace gracia la gente que pone le grito en el cielo y se alarma con este tipo de posts como si les fuese a pasar algo a ellos.

    Tranquilos, a vosotros no os van a robar las fotos del disco duro ni vuestra contraseña del "feisbu".

    Empresas como Google, Microsoft, etc... Esos si tienen que tener cuidado. Este tipo de amenazas siempre acaban afectándoles a ellos y a grandes empresas que generan muchos beneficios, o que tienen un arsenal de equipos, que es de donde los hackers pueden sacar dinero.
  9. Maravilloso, actualizar la BIOS de todos los servidores, lo cual significa o perdida de servicio o hacerlo en horas intempestivas
  10. Madre mía... tendré que comprobar mañana si lo tenemos desactivado por defecto en los equipos del trabajo, si no lo está nos tocará desactivarlo en 25.000 equipos Lenovo. [mad]
Ver más comentarios »