Tecnología, Internet y juegos
197 meneos
1894 clics
Descubren un malware escondido en la UEFI del ordenador, un tipo de ataque insólito y muy difícil de eliminar

Descubren un malware escondido en la UEFI del ordenador, un tipo de ataque insólito y muy difícil de eliminar

Hablamos de ordenadores, pero los smartphones y demás dispositivos electrónicos funcionan igual y podrían verse afectados de la misma forma por este ataque. El malware en cuestión, según la información recopilada por Kaspersky, ha sido creado a raíz de una herramienta capaz de modificar la UEFI y que fue creada por Hacking Team años atrás, su nombre es VectorEDK. Este grupo de hackers terminó su actividad en 2015, al hacerse públicos sus correos internos y el código de sus herramientas. Con ese código habrían podido construir este virus nuevo.

| etiquetas: vectoredk , kaspersky , uefi , malware
100 97 0 K 274
100 97 0 K 274
Y eso que precisamente quisieron colar UEFI con la excusa de una mejora en la seguridad, que no se podrían instalar SO no firmamos y cosas así... :palm:
#5 Como no podía ser de otra manera solo funciona con productos Microsoft.
securelist.com/mosaicregressor/98849/
#10 matiz. Solo Microsoft puede autorizar que puede y no puede correr bajo EFI secure boot.

Solo funciona con Microsoft... Y lo que Microsoft de el visto bueno. Cualquier parecido con corporación maligna es casualidad.
#17 La implementación actual de ese malware es totalmente enfocado a productos microsoft, si no hay productos microsoft marcados como "arrancables" en el uefi, no funciona.
#5 Eso mismo iba a comentar yo.
#5 Tu puedes ejecutar so no firmados si no has activado secureboot.
Y si lo activas puedes instalar tus propias claves, como hace ubuntu que solo tiene firmado el shim de uefi, y luego instala sus claves para firmar módulos de kernel y asi poder instalar drivers.
La instalación de claves de secureboot está pensada para requerir la intervención del usuario y que no se pueda hacer de tapadillo
#6 No majo.
Parte del sistema UEFI reside en la BIOS.
En el disco está el arranque del sistema operativo.
En la BIOS UEFI puedes escribir. En Linux con efibootmgr, por ejemplo.
#7 ya lo se machote pero que no vaya de listo al no explicarlo técnicamente no cambia el sentido de mi comentario.
(sin ir más lejos sin bios no podrían arrancar el disco, eso es una obviedad majote)
#8 Vale.
#8 que si que si, pero que no
#12 se perfectamente como funciona, tal como he dicho, qué no me extienda técnicamente no hace que el comentario no sea cierto, de hecho no había necesidad de una explicación técnica a lo que he dicho.
#8 Disculpa, ¿querías decir majete o pajote?
#15 quería decir lo mismo que me han dicho a mi, me he limitado a responder en el mismo tono.
#8 No, no lo sabes, lo que has dicho es erróneo.
#32 vale, tu sabes más y ésto es una publicación científica, no un foro.
Llevo más de 25 años trabajando en esto y tu no eres nadie para afirmar lo que sé y lo que no sé, si eres incapaz de entender el comentario como lo que és, un comentario, no es mi problema pero lo que dice el comentario es cierto (en el contexto que está, que es en respuesta a otro comentario).
Ahora sí quires también puedes corregir a la gente que diga "virus" a un "programa malicioso" o que no és Linux, que es GNU/Linux etz etz etz
La uefi es un invento del demonio que jamás debió existir.
Del artículo: parte del código del malware está escrito en chino o en coreano.

Ahora resulta que el chino y el coreano son lenguajes de programación... Y no es El Mundo Today.
#13 y no tenemos muy claro si es chino o coreano. Son unas letras rarunas.
#13 si en el texto/símbolos de un ejecutable aparece getCarallo() sería fácil intuir su origen.
#18 brasil?
#27 getCaralho()
#27 en #37 ya te lo ha corregido :troll:
Con "lh" es Portugués, con "ll" Galego
#13 muchos programadores escriben los nombres de las funciones en su idioma nativo o los comentarios.
#24 ¿Quieres decir que el virus viene con su código fuente y todo o que está en un lenguaje interpretado? Podría ser, pero incluso en ese caso es habitual que solamente se permitan identificadores con caracteres ASCII (intenta poner ñ=7 en tu lenguaje preferido a ver si te deja).

Luego que un programador de "malware" deje su código comentado sería bastante extraño (normalmente intentan ocultar su funcionamiento todo lo posible).

Si hay algo en chino o coreano supongo que serán los mensajes que da el virus, si es que da alguno, como el famoso virus "blancanieves":

www.f-secure.com/v-descs/hybris.shtml
#25 ¿Sólo caracteres ASCII? ¿Vienes de los 90?
#35 Más o menos. La mayoría de los lenguajes que he conocido no permiten ñ=7. Ahora acabo de comprobar que Python 3 ya lo acepta.
¿Sabes si es algo general en los lenguajes "modernos"?

Esto sin duda abre una nueva vía para la ofuscación del código...
#40 si quieres reírte solo piensa que UTF8 es compatible con ASCII así que cosas como lo siguiente:

int ≠=0; // el nombre de la variable es '≠'

Cuelan en bastantes compiladores.
#13 también dice estas perlas:

"Esto es UEFI, la base más profunda del sistema operativo, sin la cual ni siquiera podríamos encender el dispositivo."

En serio? La UEFI no va del todo en el SO xD va en el chip de la placa base, otra cosa son los archivos que tiene para el gestor de arranque.

Luego también dicen la "pesadilla" de eliminar el virus... Oh si, bajarte la BIOS de la web del fabricante de la placa y flashear. Aunque es verdad que eso no la va a hacer un antivirus ni nada de forma automática.
Vuelve la era dorada de los 80 con virus que infectan el sistema de arranque de los equipos.
La virtud de la Bios es su sencillez conceptual.

Tal como yo lo veo se la ha considerado obsoleta, pero es que al querer hacer muchas más cosas la UEFI introduce vulnerabilidades.

La UEFI puede conectarse a Internet para actualizarse. Sin duda una idea maravillosa, pero todo tiene un precio.

Lo cierto es que en mi humilde opinión los fabricantes deberían facilitar mecanismos de hardware para blindar contra intentos de escritura en las partes del hardware que nos interesen (discos duros,…   » ver todo el comentario
#33 Creo que esos mecanismos de blindaje contra partes críticas que comentas ya están: es.m.wikipedia.org/wiki/Módulo_de_plataforma_de_confianza

Mi ordenador lo lleva, y por ejemplo, cuando hay actualizaciones creo que de ciertos módulos del kernel (p.e. referidos a virtualización) o quizá cierta escritura de un programa de terceros que usa dichos módulos (VirtualBox) me lo bloqueaba. Para solucionarlo tenía que aceptar módulo manualmente, firmar de nuevo con las claves esperadas y reiniciar. Reconozco que me dio tanto palo a la segunda que lo desactivé en el arranque. Pero la idea es buena, y con un script más elaborado esto conllevaría menos esfuerzo.
#38 ¿Quitaste un Jump switch, moviste un interruptor, Conmutaste manualmente un circuito de hardware?

Lo mismo que algunos pendrives pueden protegerse manualmente contra escritura, hay partes del ordenador que no deberían tener habilitada la escritura salvo en determinadas circunstancias. Las claves son protecciones por software y pueden ser hakeadas sin necesidad de estar físicamente cerca del ordenador.
#45 Mover algún componente físico del hardware no es una estrategia accesible para la inmensa mayoría de usuarios. Y casi todo puede romperse. Por tanto, lo que ofrecen son mecanismos que ayudan a mejorar la seguridad y mantener un equilibrio entre ésta y la usabilidad.
Entiendo que TPM está para minimizar este tipo de cambios indeseados. Ya llevan algún tiempo ofreciendo los ordenadores con un chip dedicado.
#14 Me ha empezado a chirriar con lo de Binary Input Output System...
#1 Es lo que en los PCs viejunos era la BIOS.
"¿Qué es la BIOS? ¿Qué es la UEFI?" pandorafms.com/blog/es/que-es-la-bios/
#3 Y para la que ya hubo un virus similar hace 22 años.
Chernobyl o ClH.
Se implantaba en cepillaba la BIOS.
#4 la UEFI está en el disco ergo es modificable, la BIOS no y además muchas no eran ni escribibles...
#6 la bios tambien es modificable, dado que he actualizado bios desde los 90s y hay gente que hace bios personalizadas para dar caracteristicas o desbloquear hardware a ordenadores que sus fabricantes originales no le dan actualizaciones.
#22 y yo también lo he hecho, desde que són flash que se puede pero con las utilidades ad-hoc, aquí hablan de que te "cuelan" código malicioso y el comentario va en ese sentido, a menos claro, que en su día al reflashear la bios metieses cualquier cosa "encontrada por ahí" pero eso es completamente diferente.
#6 la UEFI está en el disco ergo es modificable

Chicos, cuando veáis a alguien que usa el latinajo ergo sabed que no tiene ni puta idea de lo que dice y que os está vendiendo la moto.
#4 Y como consecuencia se cargaba la placa base del ordenador. Luego sacaron como solución alternativa las placas con 2 BIOS, una modificable y la otra no, actuando la no modificable como respaldo en caso de que se dañase la otra.
#3 De informatica cero patatero
#3 Mucho mejor para mí el tema BIOS (más cómodo de configurar las cosas) que la mierda del UEFI.
Como siempre confundiendo términos.

En los sistemas, como ordenadores, existen dos tipos de chips:

- CMOS -> Semiconductor de Metal-óxido complementado o de óxido metálico complementado es lo mismo. Aquí va la configuración de la BIOS (que no la BIOS). Este tipo de chip es una memoria RAM (memoria volátil, la cual pierde la información si se queda sin energía), y por eso necesita una pila para mantener la configuración, cuando se apaga el sistema. Es decir necesita energía…   » ver todo el comentario
#44 La primera vez que escucho que no se debe desenchufar la computadora para que no se gaste la pila del cmos... Jamás tuve ese recaudo y aún así las pilas duran varios años.
Igual eso será en las fuentes ATX, las fuentes AT no alimentan el mother cuando está apagada la fuente.

Por otro lado, la pila tambíen mantiene activo el RTC que mantiene la fecha y hora del equipo.

Y como comentario curioso, he visto una bios con interface similar a windows, con ventanas movibles, íconos, doble click y demás.
Una curiosidad, y un ejemplo de como con los recursos tan limitados que se tienen en la bios, se curraron la interfaz.
#1 me jakean el uifi!
comentarios cerrados

menéame