Zombie Crapware: cómo funciona la tabla binaria de la plataforma Windows

Pocas personas se dieron cuenta en ese momento, pero Microsoft agregó una nueva característica a Windows 8 que permite a los fabricantes infectar el firmware UEFI con crapware.

Pocas personas se dieron cuenta en ese momento, pero Microsoft agregó una nueva característica a Windows 8 que permite a los fabricantes infectar el firmware UEFI con crapware. Windows continuará instalando y resucitando este software basura incluso después de realizar una instalación limpia.

Esta característica sigue presente en Windows 10, y es absolutamente desconcertante por qué Microsoft daría a los fabricantes de PC tanta potencia. Destaca la importancia de comprar PC en Microsoft Store: incluso realizar una instalación limpia puede no eliminar todo el bloatware preinstalado.

WPBT 101

A partir de Windows 8, un fabricante de PC puede incrustar un programa, esencialmente un archivo .exe de Windows, en el firmware UEFI de la PC. Esto se almacena en la sección «Tabla binaria de la plataforma de Windows» (WPBT) del firmware UEFI. Cada vez que Windows arranca, mira el firmware UEFI para este programa, lo copia del firmware a la unidad del sistema operativo y lo ejecuta. Windows en sí no proporciona forma de evitar que esto suceda. Si el firmware UEFI del fabricante lo ofrece, Windows lo ejecutará sin dudas.

LSE de Lenovo y sus agujeros de seguridad

Es imposible escribir sobre esta característica cuestionable sin notar el caso que lo llamó la atención del público. Lenovo envió una variedad de PC con algo llamado «Lenovo Service Engine» (LSE) habilitado. Esto es lo que Lenovo afirma es una lista completa de las PC afectadas.

Cuando Windows 8 ejecuta automáticamente el programa, Lenovo Service Engine descarga un programa llamado OneKey Optimizer e informa cierta cantidad de datos a Lenovo. Lenovo configura servicios del sistema diseñados para descargar y actualizar software de Internet, lo que hace que sea imposible eliminarlos; incluso volverán automáticamente después de una instalación limpia de Windows.

Lenovo fue aún más lejos, extendiendo esta técnica sospechosa a Windows 7. El firmware UEFI verifica el archivo C: \ Windows \ system32 \ autochk.exe y lo sobrescribe con la propia versión de Lenovo. Este programa se ejecuta en el arranque para verificar el sistema de archivos en Windows, y este truco le permite a Lenovo hacer que esta práctica desagradable también funcione en Windows 7. Simplemente demuestra que el WPBT ni siquiera es necesario: los fabricantes de PC podrían hacer que sus firmwares sobrescriban los archivos del sistema de Windows.

Microsoft y Lenovo descubrieron una importante vulnerabilidad de seguridad con esto que puede explotarse, por lo que, por suerte, Lenovo ha dejado de enviar PC con esta basura desagradable. Lenovo ofrece una actualización que eliminará LSE de las PC portátiles y una actualización que eliminará LSE de las PC de escritorio. Sin embargo, estos no se descargan e instalan automáticamente, por lo que muchas, probablemente las más afectadas, las PC Lenovo continuarán teniendo esta basura instalada en su firmware UEFI.

Este es solo otro desagradable problema de seguridad del fabricante de PC que nos trajo las PC infectadas con Superfish. No está claro si otros fabricantes de PC han abusado del WPBT de manera similar en algunas de sus PC.

¿Qué dice Microsoft sobre esto?

Como señala Lenovo:

«Microsoft ha publicado recientemente directrices de seguridad actualizadas sobre cómo implementar mejor esta función. El uso de LSE por parte de Lenovo no es coherente con estas pautas, por lo que Lenovo ha dejado de enviar modelos de escritorio con esta utilidad y recomienda a los clientes con esta utilidad habilitada que ejecuten una utilidad de «limpieza» que elimine los archivos LSE del escritorio «.

En otras palabras, la función LSE de Lenovo que usa el WPBT para descargar software basura de Internet fue permitida bajo el diseño y las pautas originales de Microsoft para la función WPBT. Las directrices solo ahora se han refinado.

Microsoft no ofrece mucha información sobre esto. Solo hay un único archivo .docx, ni siquiera una página web, en el sitio web de Microsoft con información sobre esta función. Puedes aprender todo lo que quieras al respecto leyendo el documento. Explica la justificación de Microsoft para incluir esta función, utilizando un software antirrobo persistente como ejemplo:

«El propósito principal de WPBT es permitir que el software crítico persista incluso cuando el sistema operativo ha cambiado o se ha reinstalado en una configuración» limpia «. Un caso de uso para WPBT es habilitar el software antirrobo que debe persistir en caso de que un dispositivo haya sido robado, formateado y reinstalado. En este escenario, la funcionalidad WPBT proporciona la capacidad para que el software antirrobo se reinstale en el sistema operativo y continúe funcionando según lo previsto «.

Esta defensa de la función solo se agregó al documento después de que Lenovo la utilizara para otros fines.

¿Su PC incluye el software WPBT?

En las PC que usan WPBT, Windows lee los datos binarios de la tabla en el firmware UEFI y los copia en un archivo llamado wpbbin.exe en el arranque.

Puede verificar su propia PC para ver si el fabricante ha incluido el software en el WPBT. Para averiguarlo, abra el directorio C: \ Windows \ system32 y busque un archivo llamado wpbbin.exe . El archivo C: \ Windows \ system32 \ wpbbin.exe solo existe si Windows lo copia del firmware UEFI. Si no está presente, el fabricante de su PC no ha utilizado WPBT para ejecutar automáticamente el software en su PC.

Evitar WPBT y otros programas basura

Microsoft ha establecido algunas reglas más para esta función a raíz de la falla de seguridad irresponsable de Lenovo. Pero es desconcertante que esta característica incluso exista en primer lugar, y especialmente desconcertante que Microsoft la proporcione a los fabricantes de PC sin ningún requisito claro de seguridad o pautas sobre su uso.

Las pautas revisadas instruyen a los fabricantes de equipos originales para garantizar que los usuarios puedan deshabilitar esta característica si no la desean, pero las pautas de Microsoft no han impedido que los fabricantes de PC abusen de la seguridad de Windows en el pasado. Sea testigo de las PC de envío de Samsung con Windows Update deshabilitado porque era más fácil que trabajar con Microsoft para garantizar que se agregaron los controladores adecuados a Windows Update.

Este es otro ejemplo de fabricantes de PC que no toman en serio la seguridad de Windows. Si planea comprar una nueva PC con Windows, le recomendamos que compre una en la tienda de Microsoft, Microsoft realmente se preocupa por estas PC y se asegura de que no tengan software dañino como el Superfish de Lenovo, el Disable_WindowsUpdate.exe de Samsung, la función LSE de Lenovo, y todos los otros trastos con los que podría venir una PC típica.

Cuando escribimos esto en el pasado, muchos lectores respondieron que esto era innecesario porque siempre se podía realizar una instalación limpia de Windows para eliminar cualquier bloatware. Bueno, aparentemente eso no es cierto: la única forma segura de obtener una PC con Windows libre de bloatware es desde la Tienda Microsoft. No debería ser así, pero lo es.

Lo que es particularmente preocupante sobre el WPBT no es solo el completo fracaso de Lenovo al usarlo para proteger vulnerabilidades de seguridad y software basura en instalaciones limpias de Windows. Lo que es especialmente preocupante es que Microsoft proporciona características como esta a los fabricantes de PC en primer lugar, especialmente sin las limitaciones o la orientación adecuadas.

También pasaron varios años antes de que esta característica fuera notada entre el mundo tecnológico en general, y eso solo sucedió debido a una desagradable vulnerabilidad de seguridad. Quién sabe qué otras características desagradables están integradas en Windows para que los fabricantes de PC abusen. Los fabricantes de PC están arrastrando la reputación de Windows a través de la basura y Microsoft necesita tenerlos bajo control.

Crédito de imagen: Cory M. Grenier en Flickr

Rate article
labsfabs.com
Add a comment