Un sofisticado rootkit ha sido detectado recientemente por Kaspersky. El software es capaz de sobrevivir a la reinstalación de Windows y a un cambio de disco duro. ¿Cómo lo logra? Alojándose en el firmware de la placa madre de los PC infectados. El malware en cuestión se llama CosmicStrand y se han detectado rastros que ligarían su autoría con hackers chinos. Al infectar la UEFI de una motherboard, el rootkit es capaz de ejecutar procesos maliciosos desde el booteo del sistema operativo.

Un equipo de ingenieros de la firma de seguridad Eclypsium encontró una vulnerabilidad grave basada en un fallo de programación en Dell BIOSconnect, un software que se preinstala en los ordenadores Dell y que sirve para actualizar la BIOS de forma automática. La vulnerabilidad se encuentra dentro de Dell SupportAssist y lo más preocupante es que no sólo sería fácil de explotar, sino que afecta potencialmente a 129 modelos distintos, incluyendo también ordenadores de escritorio, tablets y por supuesto ordenadores portátiles.

Hablamos de ordenadores, pero los smartphones y demás dispositivos electrónicos funcionan igual y podrían verse afectados de la misma forma por este ataque. El malware en cuestión, según la información recopilada por Kaspersky, ha sido creado a raíz de una herramienta capaz de modificar la UEFI y que fue creada por Hacking Team años atrás, su nombre es VectorEDK. Este grupo de hackers terminó su actividad en 2015, al hacerse públicos sus correos internos y el código de sus herramientas. Con ese código habrían podido construir este virus nuevo.

Investigadores dicen haber encontrado el primer rootkit que utiliza el sistema Windows Unified Extensible Firmware Interface (UEFI) para realizar un ataque exitoso. Se aloja en la memoria de la placa madre lo que lo hace dificil de detectar para los antivirus actuales y ademas es capaz sobrevivir a un reemplazo del sistema de almacenamiento. www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

Microsoft ha revelado por error la clave maestra de seguridad que permite desbloquear cualquier teléfono, PC o tableta que tenga Windows como sistema operativo y esté protegido por Secure Boot. [..] Secure Boot trabaja a nivel del firmware, configurable en la UEFI (BIOS), habiendo sido diseñado para permitir que solamente un sistema operativo con una clave certificada por Microsoft pueda cargarlo. Esta clave maestra parece haber sido desarrollada como herramienta de depuración a nivel interno de la compañía.

Ejecutar el comando “rm -rf /” en un Linux que use UEFI puede dejar inservible el equipo de forma permanente. Cabe decir que borrar de forma recursiva todos los archivos y directorios no es recomendable. Pero si se hace en un sistema en el que la variables de EFI están montadas en modo lectura-escritura en “/sys”, puede llevar a inutilizar la implementación de UEFI, lo que llevaría a tener un sistema completamente inservible. [El error se reporta en el GitHub de ‘systemd’: github.com/systemd/systemd/issues/2402 ]

Resurge el fantasma de UEFI Secure Boot que tanto nos entretuvo un par de años atrás y lo hace con peor pinta si cabe. A partir de que se lance Windows 10 dependerá de los fabricantes el permitir o no la desactivación de esta característica desde el menú de arranque. Una decisión que está trayendo cola de opinión. La noticia data de la semana pasada, pero es a raíz de algunas reacciones en la blogosfera Linux que le vamos a dedicar este apartado. ¿Representa un peligro para los sistemas operativos ...

Hackers detectan una vulnerabilidad en el módulo Secure Boot del UEFI que puede permitir que un malware lo desactive e incluso impedir el arranque.