Ya en su momento cuando se había propuesto UEFI, el sistema de booteo “Unified Extensible Firmware Interface” que actualmente todas las PCs tienen y que reemplazó al clásico BIOS, varios habían levantado las alertas sobre un nuevo vector de ataque.
Porque el UEFI es un sistema operativo que se ejecuta en el motherboard ANTES que un Windows o Linux, así que si hay un SO y tiene una memoria flash donde está escrito, no hay reinstalación de windows que te libere de un rootkit allí instalado.
Pues bien… como era de esperar… sucedió.
LoJax tiene sus orígenes en la entidad hacker rusa financiada por su gobierno, o eso es lo que cree ESET que realizó un enorme estudio sobre esta amenaza real, de este rootkit que busca vulnerabilidades automáticamente, parchea la imagen y reescribe la flash del equipo infectado. No necesita hacerlo físicamente con alguien accediento a la PC como las demos que se habían probado, lo puede hacer todo remotamente como cualquier virus.
Lojack era originalmente un módulo para UEFI/BIOS desarrollado por Absolute Software para evitar robos de equipos vendido en su momento como Computrace, Lojax es una reversión de éste en modalidad rootkit que también se instala como módulo de UEFI. Computrace era básicamente un rootkit pero “legal” o, más bien, vendido legalmente. Pero Lojack no tenía autenticación así que la primer falla de todo, descubierta alrededor de 2014, fue que cualquiera podía enviar paquetes a los servidores de Absolute Software haciéndose pasar por el módulo. Con el tiempo y mucho código, lograron “secuestrar” el módulo directamente.
Pero el problema no es solamente la existencia de un módulo sino que muchas implementaciones de UEFI apestan por su baja o nula seguridad, todos los circuitos de protección para evitar que alguien reescriba UEFI por su cuenta vienen desactivados por default cuando lo sencillo sería activar algunos y que uno pudiera desactivarlo desde UEFI a voluntad. Para peor infecta el DXE, Driver Execution Environment, que se ejecuta al comienzo del booteo de UEFI y además tiene un driver NTFS por lo que siempre podrá instalar su agente sobre el sistema operativo principal aun cuando uno borre completamente el disco y comience de cero.
Via ARSTechnica y ESET
