Lenovo ha vendido sus computadoras portatiles (laptops) con un software que no puede ser desinstalado y que cuenta con una vulnerabilidad de seguridad explotable como plus.
Si se elimina el bloatware, o se limpia el disco duro y Windows es reinstalado desde cero, el firmware de la portátil de forma automática y silenciosa, vuelva a instalar el software de Lenovo en el próximo arranque.
Construido en el firmware en la placa base de la laptop es una pieza de código llamado el servicio de motor de Lenovo (LSE). Si está instalado Windows, LSE se ejecuta antes de que siquiera arranque el sistema operativo de Microsoft.
LSE se asegura de que C:\Windows\system32\autochk.exe es una variante de Lenovo del archivo autochk.exe; si la versión oficial de Microsoft está allí, esta es movida y reemplazada. El ejecutable se ejecuta durante el inicio, y comprueba el sistema de archivos del equipo para asegurarse de que está libre de cualquier corrupción.
La variante de Lenovo de este archivo de sistema asegura que LenovoUpdate.exe y LenovoCheck.exe están presentes en el directorio system32 del sistema operativo, y si no, va a copiar los archivos ejecutables en ese directorio durante el arranque. Así que si desinstalas o eliminas estos programas, la LSE en el firmware los trae de regreso durante el encendido o siguiente reinicio.
LenovoCheck y LenovoUpdate se ejecutan en el arranque con acceso de administrador completo. Automáticamente, y bastante grosero, se conectan a Internet para instalar los drivers y todo lo que Lenovo quiere en tu equipo. El software de Lenovo también manda a casa de los gigantes chinos los detalles del sistema en funcionamiento.
Para conseguirlo, la LSE explota la característica del binario Tabla de Microsoft Windows Plataforma (WPBT). Esto permite a los fabricantes de PC y las empresas de TI inyectar controladores, programas y otros archivos en el sistema operativo Windows desde el firmware de la placa base.
El WPBT se almacena en el firmware, y le dice a Windows en el que lugar de la memoria se puede encontrar un archivo ejecutable binario para que la plataforma funcione. Dicho ejecutable debe tener cuidado de que el trabajo de instalación de los archivos se realice antes de iniciar el sistema operativo.
"Durante la inicialización del sistema operativo, Windows leerá la WPBT para obtener la ubicación física de memoria del binario de la plataforma", se lee en la documentación de Microsoft.
"Se requiere que el binario sea una aplicación nativa, en modo usuario se ejecuta por el Administrador de sesión de Windows durante la inicialización del sistema operativo. Windows escribe la imagen en el disco, y el Gestor de sesiones iniciará el proceso."
Fundamentalmente, la documentación WPBT subraya:
El propósito principal de WPBT es permitir que software crítico persista incluso cuando el sistema operativo ha cambiado o ha sido reinstalado en una configuración "limpia" ... Debido a que esta característica proporciona la capacidad de ejecutar persistentemente software del sistema en el contexto de Windows, se convierte soluciones críticas que basados en WPBT son tan seguras como sea posible y no exponen a los usuarios de Windows a condiciones explotables.
Dios... ¿Tan seguro como sea posible? No en este caso: el investigador de seguridad Roel Schouwenberg encontró una vulnerabilidad de desbordamiento de memoria en LSE que podría ser aprovechada para comprometer el software de bajo nivel, y también encontró el código en contacto con un servidor de prueba en la sede de Lenovo. Lenovo se dio cuenta que su LSE caía falta de directrices de seguridad de Microsoft para utilizar la potente función WPBT, por lo que se ha retirado todo el asunto.
Una herramienta ya está disponible para desinstalar el motor de su portátil: LSE fue incluido en las Lenovo de Windows 7 y 8 máquinas construidas entre 23 de octubre 2014 y el 10 de abril de 2015. La lista completa de los modelos afectados está aquí; Las PC Think series no se ven afectados, según Lenovo.
"Lenovo Service Engine (LSE) es una utilidad en el BIOS para ciertos sistemas de escritorio Lenovo. Se envía automáticamente datos no personales del sistema de identificación a un servidor Lenovo una vez cuando el sistema está conectado primero a la internet y luego no envía ningún dato adicional", explicó el goliath chino. "Los datos del sistema que lse recoge incluye el tipo y modelo de máquina, UUID del sistema, la región y la fecha. No recoge información personalmente identificable. Una vez que se envía estos datos, el servicio se desactiva automáticamente."
El negocio continuó:
LSE utiliza la capacidad del binario Tabla de Microsoft Windows Plataforma (WPBT). Microsoft ha publicado recientemente directrices de seguridad actualizadas sobre cómo implementar mejor esta función. El uso de Lenovo de LSE no es consistente con estas directrices y envios de modelos de escritorio de Lenovo ha abandonado esta utilidad y recomienda a los clientes con esta utilidad correr una herramienta que elimina los archivos LSE desde el escritorio. Las instrucciones sobre cómo descargar y ejecutar este programa se encuentran abajo.
La funcionalidad LSE se ha eliminado de los sistemas de nueva fabricación.
Sin este descubrimiento, habría sido prácticamente imposible para los usuarios eliminar el software que parece rootkit del firmware. Esperamos que otros fabricantes no están haciendo lo mismo con el WPBT.
Usuarios de Lenovo, se les recomienda desinstalar esta utilidad (LSE) de manera urgente.
Herramienta de desinstalación de LSE - Lenovo
 |
| Imagen: Lenovo |
Si se elimina el bloatware, o se limpia el disco duro y Windows es reinstalado desde cero, el firmware de la portátil de forma automática y silenciosa, vuelva a instalar el software de Lenovo en el próximo arranque.
Construido en el firmware en la placa base de la laptop es una pieza de código llamado el servicio de motor de Lenovo (LSE). Si está instalado Windows, LSE se ejecuta antes de que siquiera arranque el sistema operativo de Microsoft.
LSE se asegura de que C:\Windows\system32\autochk.exe es una variante de Lenovo del archivo autochk.exe; si la versión oficial de Microsoft está allí, esta es movida y reemplazada. El ejecutable se ejecuta durante el inicio, y comprueba el sistema de archivos del equipo para asegurarse de que está libre de cualquier corrupción.
La variante de Lenovo de este archivo de sistema asegura que LenovoUpdate.exe y LenovoCheck.exe están presentes en el directorio system32 del sistema operativo, y si no, va a copiar los archivos ejecutables en ese directorio durante el arranque. Así que si desinstalas o eliminas estos programas, la LSE en el firmware los trae de regreso durante el encendido o siguiente reinicio.
LenovoCheck y LenovoUpdate se ejecutan en el arranque con acceso de administrador completo. Automáticamente, y bastante grosero, se conectan a Internet para instalar los drivers y todo lo que Lenovo quiere en tu equipo. El software de Lenovo también manda a casa de los gigantes chinos los detalles del sistema en funcionamiento.
Para conseguirlo, la LSE explota la característica del binario Tabla de Microsoft Windows Plataforma (WPBT). Esto permite a los fabricantes de PC y las empresas de TI inyectar controladores, programas y otros archivos en el sistema operativo Windows desde el firmware de la placa base.
El WPBT se almacena en el firmware, y le dice a Windows en el que lugar de la memoria se puede encontrar un archivo ejecutable binario para que la plataforma funcione. Dicho ejecutable debe tener cuidado de que el trabajo de instalación de los archivos se realice antes de iniciar el sistema operativo.
"Durante la inicialización del sistema operativo, Windows leerá la WPBT para obtener la ubicación física de memoria del binario de la plataforma", se lee en la documentación de Microsoft.
"Se requiere que el binario sea una aplicación nativa, en modo usuario se ejecuta por el Administrador de sesión de Windows durante la inicialización del sistema operativo. Windows escribe la imagen en el disco, y el Gestor de sesiones iniciará el proceso."
Fundamentalmente, la documentación WPBT subraya:
El propósito principal de WPBT es permitir que software crítico persista incluso cuando el sistema operativo ha cambiado o ha sido reinstalado en una configuración "limpia" ... Debido a que esta característica proporciona la capacidad de ejecutar persistentemente software del sistema en el contexto de Windows, se convierte soluciones críticas que basados en WPBT son tan seguras como sea posible y no exponen a los usuarios de Windows a condiciones explotables.
Dios... ¿Tan seguro como sea posible? No en este caso: el investigador de seguridad Roel Schouwenberg encontró una vulnerabilidad de desbordamiento de memoria en LSE que podría ser aprovechada para comprometer el software de bajo nivel, y también encontró el código en contacto con un servidor de prueba en la sede de Lenovo. Lenovo se dio cuenta que su LSE caía falta de directrices de seguridad de Microsoft para utilizar la potente función WPBT, por lo que se ha retirado todo el asunto.
Una herramienta ya está disponible para desinstalar el motor de su portátil: LSE fue incluido en las Lenovo de Windows 7 y 8 máquinas construidas entre 23 de octubre 2014 y el 10 de abril de 2015. La lista completa de los modelos afectados está aquí; Las PC Think series no se ven afectados, según Lenovo.
"Lenovo Service Engine (LSE) es una utilidad en el BIOS para ciertos sistemas de escritorio Lenovo. Se envía automáticamente datos no personales del sistema de identificación a un servidor Lenovo una vez cuando el sistema está conectado primero a la internet y luego no envía ningún dato adicional", explicó el goliath chino. "Los datos del sistema que lse recoge incluye el tipo y modelo de máquina, UUID del sistema, la región y la fecha. No recoge información personalmente identificable. Una vez que se envía estos datos, el servicio se desactiva automáticamente."
El negocio continuó:
LSE utiliza la capacidad del binario Tabla de Microsoft Windows Plataforma (WPBT). Microsoft ha publicado recientemente directrices de seguridad actualizadas sobre cómo implementar mejor esta función. El uso de Lenovo de LSE no es consistente con estas directrices y envios de modelos de escritorio de Lenovo ha abandonado esta utilidad y recomienda a los clientes con esta utilidad correr una herramienta que elimina los archivos LSE desde el escritorio. Las instrucciones sobre cómo descargar y ejecutar este programa se encuentran abajo.
La funcionalidad LSE se ha eliminado de los sistemas de nueva fabricación.
Sin este descubrimiento, habría sido prácticamente imposible para los usuarios eliminar el software que parece rootkit del firmware. Esperamos que otros fabricantes no están haciendo lo mismo con el WPBT.
Usuarios de Lenovo, se les recomienda desinstalar esta utilidad (LSE) de manera urgente.
Herramienta de desinstalación de LSE - Lenovo
