Portada
Hace 3 años | Por bonobo a computerhoy.com
Publicado hace 3 años por bonobo a computerhoy.com
Descubren un malware escondido en la UEFI del ordenador, un tipo de ataque insólito y muy difícil de eliminar

Descubren un malware escondido en la UEFI del ordenador, un tipo de ataque insólito y muy difícil de eliminar

 computerhoy.com

Hablamos de ordenadores, pero los smartphones y demás dispositivos electrónicos funcionan igual y podrían verse afectados de la misma forma por este ataque. El malware en cuestión, según la información recopilada por Kaspersky, ha sido creado a raíz de una herramienta capaz de modificar la UEFI y que fue creada por Hacking Team años atrás, su nombre es VectorEDK. Este grupo de hackers terminó su actividad en 2015, al hacerse públicos sus correos internos y el código de sus herramientas. Con ese código habrían podido construir este virus nuevo.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.9k 49

Comentarios

PauMarí
editado

Y eso que precisamente quisieron colar UEFI con la excusa de una mejora en la seguridad, que no se podrían instalar SO no firmamos y cosas así...

V 18
K 169
comadrejo

#5 Como no podía ser de otra manera solo funciona con productos Microsoft.
https://securelist.com/mosaicregressor/98849/

V 9
K 98
box3d

#10 matiz. Solo Microsoft puede autorizar que puede y no puede correr bajo EFI secure boot.

Solo funciona con Microsoft... Y lo que Microsoft de el visto bueno. Cualquier parecido con corporación maligna es casualidad.

V 1
K 18
comadrejo

#17 La implementación actual de ese malware es totalmente enfocado a productos microsoft, si no hay productos microsoft marcados como "arrancables" en el uefi, no funciona.

V 0
K 8
noexisto

#5 Eso mismo iba a comentar yo.

V 0
K 14
z3t4

#5 Tu puedes ejecutar so no firmados si no has activado secureboot.
Y si lo activas puedes instalar tus propias claves, como hace ubuntu que solo tiene firmado el shim de uefi, y luego instala sus claves para firmar módulos de kernel y asi poder instalar drivers.
La instalación de claves de secureboot está pensada para requerir la intervención del usuario y que no se pueda hacer de tapadillo

V 3
K 30
Stash

#6 No majo.
Parte del sistema UEFI reside en la BIOS.
En el disco está el arranque del sistema operativo.
En la BIOS UEFI puedes escribir. En Linux con efibootmgr, por ejemplo.

V 18
K 145
PauMarí
editado

#7 ya lo se machote pero que no vaya de listo al no explicarlo técnicamente no cambia el sentido de mi comentario.
(sin ir más lejos sin bios no podrían arrancar el disco, eso es una obviedad majote)

V 8
K 18
Stash

#8 Vale.

V 3
K 28
kedu2o

#8 que si que si, pero que no

V 1
K 19
PauMarí

#12 se perfectamente como funciona, tal como he dicho, qué no me extienda técnicamente no hace que el comentario no sea cierto, de hecho no había necesidad de una explicación técnica a lo que he dicho.

V 0
K 6
D

#8 Disculpa, ¿querías decir majete o pajote?

V 2
K 9
PauMarí

#15 quería decir lo mismo que me han dicho a mi, me he limitado a responder en el mismo tono.

V 0
K 6
r

#8 No, no lo sabes, lo que has dicho es erróneo.

V 3
K 27
PauMarí
editado

#32 vale, tu sabes más y ésto es una publicación científica, no un foro.
Llevo más de 25 años trabajando en esto y tu no eres nadie para afirmar lo que sé y lo que no sé, si eres incapaz de entender el comentario como lo que és, un comentario, no es mi problema pero lo que dice el comentario es cierto (en el contexto que está, que es en respuesta a otro comentario).
Ahora sí quires también puedes corregir a la gente que diga "virus" a un "programa malicioso" o que no és Linux, que es GNU/Linux etz etz etz

V 1
K 17
neo1999

La uefi es un invento del demonio que jamás debió existir.

V 5
K 52
Idomeneo

Del artículo: parte del código del malware está escrito en chino o en coreano.

Ahora resulta que el chino y el coreano son lenguajes de programación... Y no es El Mundo Today.

V 5
K 48
D

#13 y no tenemos muy claro si es chino o coreano. Son unas letras rarunas.

V 8
K 61
box3d

#13 si en el texto/símbolos de un ejecutable aparece getCarallo() sería fácil intuir su origen.

V 4
K 43
dudo

#18 brasil?

V 0
K 8
j

#27 getCaralho()

V 2
K 26
box3d

#27 en #37 ya te lo ha corregido
Con "lh" es Portugués, con "ll" Galego

V 2
K 23
Aokromes

#13 muchos programadores escriben los nombres de las funciones en su idioma nativo o los comentarios.

V 2
K 23
Idomeneo

#24 ¿Quieres decir que el virus viene con su código fuente y todo o que está en un lenguaje interpretado? Podría ser, pero incluso en ese caso es habitual que solamente se permitan identificadores con caracteres ASCII (intenta poner ñ=7 en tu lenguaje preferido a ver si te deja).

Luego que un programador de "malware" deje su código comentado sería bastante extraño (normalmente intentan ocultar su funcionamiento todo lo posible).

Si hay algo en chino o coreano supongo que serán los mensajes que da el virus, si es que da alguno, como el famoso virus "blancanieves":

https://www.f-secure.com/v-descs/hybris.shtml

V 4
K 44
squanchy

#25 ¿Sólo caracteres ASCII? ¿Vienes de los 90?

V 0
K 12
Idomeneo

#35 Más o menos. La mayoría de los lenguajes que he conocido no permiten ñ=7. Ahora acabo de comprobar que Python 3 ya lo acepta.
¿Sabes si es algo general en los lenguajes "modernos"?

Esto sin duda abre una nueva vía para la ofuscación del código...

V 0
K 9
box3d

#40 si quieres reírte solo piensa que UTF8 es compatible con ASCII así que cosas como lo siguiente:

int ≠=0; // el nombre de la variable es '≠'

Cuelan en bastantes compiladores.

V 1
K 16
f
editado

#13 también dice estas perlas:

"Esto es UEFI, la base más profunda del sistema operativo, sin la cual ni siquiera podríamos encender el dispositivo."

En serio? La UEFI no va del todo en el SO lol va en el chip de la placa base, otra cosa son los archivos que tiene para el gestor de arranque.

Luego también dicen la "pesadilla" de eliminar el virus... Oh si, bajarte la BIOS de la web del fabricante de la placa y flashear. Aunque es verdad que eso no la va a hacer un antivirus ni nada de forma automática.

V 2
K 23
l
editado

Vuelve la era dorada de los 80 con virus que infectan el sistema de arranque de los equipos.

V 1
K 20
a

La virtud de la Bios es su sencillez conceptual.

Tal como yo lo veo se la ha considerado obsoleta, pero es que al querer hacer muchas más cosas la UEFI introduce vulnerabilidades.

La UEFI puede conectarse a Internet para actualizarse. Sin duda una idea maravillosa, pero todo tiene un precio.

Lo cierto es que en mi humilde opinión los fabricantes deberían facilitar mecanismos de hardware para blindar contra intentos de escritura en las partes del hardware que nos interesen (discos duros, memorias o lo que sea) porque algunas partes críticas solo necesitan modificar sus datos en momentos muy puntuales ligados a la instalación o a modificaciones del hardware original del ordenador por ejemplo.

Creo que los fabricantes en el afán de mantener el control sobre sus productos, después incluso de ser vendidos, dejan permanentemente abiertas puertas que están mejor cerradas.

V 1
K 13
Arcueid

#33 Creo que esos mecanismos de blindaje contra partes críticas que comentas ya están: https://es.m.wikipedia.org/wiki/M%C3%B3dulo_de_plataforma_de_confianza

Mi ordenador lo lleva, y por ejemplo, cuando hay actualizaciones creo que de ciertos módulos del kernel (p.e. referidos a virtualización) o quizá cierta escritura de un programa de terceros que usa dichos módulos (VirtualBox) me lo bloqueaba. Para solucionarlo tenía que aceptar módulo manualmente, firmar de nuevo con las claves esperadas y reiniciar. Reconozco que me dio tanto palo a la segunda que lo desactivé en el arranque. Pero la idea es buena, y con un script más elaborado esto conllevaría menos esfuerzo.

V 1
K 10
a

#38 ¿Quitaste un Jump switch, moviste un interruptor, Conmutaste manualmente un circuito de hardware?

Lo mismo que algunos pendrives pueden protegerse manualmente contra escritura, hay partes del ordenador que no deberían tener habilitada la escritura salvo en determinadas circunstancias. Las claves son protecciones por software y pueden ser hakeadas sin necesidad de estar físicamente cerca del ordenador.

V 0
K 10
Arcueid
editado

#45 Mover algún componente físico del hardware no es una estrategia accesible para la inmensa mayoría de usuarios. Y casi todo puede romperse. Por tanto, lo que ofrecen son mecanismos que ayudan a mejorar la seguridad y mantener un equilibrio entre ésta y la usabilidad.

V 0
K 7
Arcueid

Entiendo que TPM está para minimizar este tipo de cambios indeseados. Ya llevan algún tiempo ofreciendo los ordenadores con un chip dedicado.

V 0
K 7
Candidatas
10
meneos
tecnología NASA pide a SpaceX llevar la EEI a su ‘cementerio’ acuático después de 2030
15
meneos
tecnología Un equipo de desarrollo Español está diseñando una consola capaz de ejecutar las consolas clásicas de SEGA
10
meneos
tecnología Dos graves vulnerabilidades en Android y los Pixel obligan a intervenir a EE.UU.: «O actualizan antes de 10 días o no usen su smartphone de Google»
13
meneos
tecnología Web-Check permite entender de un vistazo cómo está la seguridad de cualquier sitio web
10
meneos
tecnología Toys “R” Us se convierte en la primera marca en crear un anuncio con Sora
10
meneos
tecnología La BANANA que está rompiendo Steam
16
meneos
tecnología Experimentan con un método para fijar piel sintética a los robots (ING)
20
meneos
tecnología Universal, Sony y Warner demandan a las empresas de IA Suno y Udio por entrenar sus modelos con canciones con copyright
5
meneos
tecnología Empieza la pesadilla de los propietarios del Fisker Ocean
16
meneos
tecnología Décadas después, John Romero recuerda el nacimiento del shooter en primera persona (ENG)
15
meneos
tecnología Si estás utilizando código de Polyfill.io en tu sitio - como más de 100.000 - elimínalo inmediatamente (ENG)
6
meneos
tecnología El trabajo de detective permite al equipo de Perseverance revivir el instrumento SHERLOC (eng)
7
meneos
tecnología Systemd 256.1 Corrige el bug "systemd-tmpfiles borra tu directorio /home de manera inesperada" [ENG]
8
meneos
tecnología Esta noria giratoria es lo último en granjas lecheras. Las más grandes pueden ordeñar más de 100 vacas a la vez
7
meneos
tecnología Apple puede romper la DMA con las reglas de dirección de la App Store, dice la UE [ENG]
9
meneos
tecnología Alguien ha utilizado una Raspberry Pi de menos de 10 euros para un estupendo proyecto: crear su propio Macintosh original
7
meneos
tecnología EEUU, China y Reino Unido, los mercados más atractivos para invertir en baterías: España, ni sale y pierde fuelle en renovables
9
meneos
tecnología Ilya Sutskever, cofundador de OpenAI, anuncia su nueva empresa
6
meneos
tecnología ChatGPT y sus rivales son unos sosainas. Y convertirlos en chatbots graciosos no va a ser nada fácil
6
meneos
tecnología ¿te escucha tu móvil?
vorotas

#14 Me ha empezado a chirriar con lo de Binary Input Output System...

V 0
K 6
T

Uefi?

V 0
K 6
bonobo
autor

#1 https://es.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface

V 1
K 28
D

#1 Es lo que en los PCs viejunos era la BIOS.
"¿Qué es la BIOS? ¿Qué es la UEFI?" https://pandorafms.com/blog/es/que-es-la-bios/

V 6
K 44
Stash
editado

#3 Y para la que ya hubo un virus similar hace 22 años.
Chernobyl o ClH.
Se implantaba en cepillaba la BIOS.

V 5
K 60
PauMarí
editado

#4 la UEFI está en el disco ergo es modificable, la BIOS no y además muchas no eran ni escribibles...

V 6
K 40
Aokromes

#6 la bios tambien es modificable, dado que he actualizado bios desde los 90s y hay gente que hace bios personalizadas para dar caracteristicas o desbloquear hardware a ordenadores que sus fabricantes originales no le dan actualizaciones.

V 3
K 38
PauMarí
editado

#22 y yo también lo he hecho, desde que són flash que se puede pero con las utilidades ad-hoc, aquí hablan de que te "cuelan" código malicioso y el comentario va en ese sentido, a menos claro, que en su día al reflashear la bios metieses cualquier cosa "encontrada por ahí" pero eso es completamente diferente.

V 0
K 6
J

#6 la UEFI está en el disco ergo es modificable

Chicos, cuando veáis a alguien que usa el latinajo ergo sabed que no tiene ni puta idea de lo que dice y que os está vendiendo la moto.

V 1
K 12
p
editado

#4 Y como consecuencia se cargaba la placa base del ordenador. Luego sacaron como solución alternativa las placas con 2 BIOS, una modificable y la otra no, actuando la no modificable como respaldo en caso de que se dañase la otra.

V 5
K 48
T

#3 De informatica cero patatero

V 0
K 6
D

#3 Mucho mejor para mí el tema BIOS (más cómodo de configurar las cosas) que la mierda del UEFI.

V 0
K 7
Nova6K0
editado

Como siempre confundiendo términos.

En los sistemas, como ordenadores, existen dos tipos de chips:

- CMOS -> Semiconductor de Metal-óxido complementado o de óxido metálico complementado es lo mismo. Aquí va la configuración de la BIOS (que no la BIOS). Este tipo de chip es una memoria RAM (memoria volátil, la cual pierde la información si se queda sin energía), y por eso necesita una pila para mantener la configuración, cuando se apaga el sistema. Es decir necesita energía permanentemente (y por eso nunca se debe desenchufar el ordenador, salvo que queramos que la pila dure uno o dos años como mucho)

- ROM BIOS ->. Esta memoria es de solo lectura y del tipo EEPROM (Electrically Erasable Programmable Read Only Memory. O Memoria de solo lectura programable y borrable, mediante electricidad. Esta se borra cuando actualizamos esa EEPROM o como decimos coloquialmente "actualizar la BIOS")

Luego tenemos el programa de la BIOS (Basic Input Output System o Sistema Básico de Entrada/Salida) que no lo que pone el enlace de function en su comentario #3, que no se donde sacan lo de Binary, entre otras cosas. Este programa nos permite configurar las distintas opciones que se van a guardar en la CMOS.

Por último tenemos la EFI. Extended Firmware Interface o la que más se usa actualmente Unified Extended Firmware Interface. Interfaz de firmware extensible unificada. Y es muy superior al programa de la BIOS. Por qué cuando se desarrolló este, fue para una época donde no se esperaba que la informática fuese a avanzar tanto. Y entonces quedó con una serie de limitaciones que impedían dicho avance y por tanto había que cambiar a algo mejor, así nace EFI/UEFI. Si os preguntáis por qué si ponemos un disco duro de 3 TB en modo BIOS este no arranca es precisamente por culpa de la BIOS. Y esto es por qué las BIOS tienen una programación de 16 bits, lo que impide acceder a más de 2 TB. En realidad es más por qué el sistema MBR (Master Boot Record o Registro de Inicio Maestro) no admite más de 2 TB. Y el nuevo sistema GPT (GUID Partition Table o Tabla de partición mediante GUID o generación de un Identificador Único Global, es inadmisible por la gran mayoría de BIOS).

Además de esto anterior EFI/UEFI es más como un micro-sistema operativo en sí. Es mucho mejor que la BIOS, mismo sus interfaces son mejores. La BIOS era una pantalla azul, o roja, negra,... o algo muy pobre por decirlo así. En cambio ya vemos como son las EFI/UEFI son mucho más llamativas e incluso más amenas de configurar.

Saludos.

V 1
K 16
d
editado

#44 La primera vez que escucho que no se debe desenchufar la computadora para que no se gaste la pila del cmos... Jamás tuve ese recaudo y aún así las pilas duran varios años.
Igual eso será en las fuentes ATX, las fuentes AT no alimentan el mother cuando está apagada la fuente.

Por otro lado, la pila tambíen mantiene activo el RTC que mantiene la fecha y hora del equipo.

Y como comentario curioso, he visto una bios con interface similar a windows, con ventanas movibles, íconos, doble click y demás.
Una curiosidad, y un ejemplo de como con los recursos tan limitados que se tienen en la bios, se curraron la interfaz.

V 0
K 7
c

#1 me jakean el uifi!

V 0
K 10