Lenovo no ha aprendido nada. En febrero de este año, la compañía fue el centro de una tormenta por Superfish, un adware preinstalado de fábrica en sus equipos que podía ser utilizado por terceros para robar información. Pues bien, lo han vuelto a hacer, y esta vez desde la BIOS y modificando hasta el arranque de Windows.

El nuevo caso lo han descubierto los propios usuarios de los foros de Ars Technica. Varios de ellos encontraron software de Lenovo en portátiles de la marca en los que acababan de instalar una copia limpia de Windows 7 u 8 sobre un disco duro nuevo. Después de eliminarlo y reiniciar, el Software volvía a aparecer

Advertisement

El caso es doblemente grave porque, para colar ese Bloatware, Lenovo ha empleado técnicas de Rootkit. Es la propia BIOS del portátil Lenovo la que instala el bloatware, y para ello sobreescribe archivos de arranque de Windows. El proceso, además, es tan chapucero que está abierto a que terceros lo utilicen como vía de ataque. El usuario Ge814 explica:

Antes de iniciar Windows 7 u 8, la BIOS comprueba si el archivo C:\Windows\system32\autochk.exe es el original de Lenovo o el de Microsoft. Si no es el de Lenovo, lo mueve a C:\Windows\system32\0409\zz_sec\autobin.exe, y escribe su propio archivo autochk.exe. Durante el inicio, el archivo autochk.exe credo por Lenovo escribe archivos LenovoUpdate.exe y LenovoCheck.exe en la carpeta system32, y activa los correspondientes servicios para ejecutar uno de ellos cuando esté disponible una conexión a Internet. No se con seguridad qué es lo que hacen esos archivos, pero uno de ellos “telefonea a casa” a la dirección http://download.lenovo.com/ideapad/wind, lo que es un poco preocupante, sobre todo si tenemos en cuenta que es una actualización forzada sobre una página sin SSL. Es muy probable que esa instrucción pueda ser modificada para inyectar código malicioso con solo interceptar la conexión desde una red pública.

Una posible solución

Según explican los usuarios de Ars Technica, el problema proviene de una herramienta presente en la BIOS de algunos portátiles Lenovo y conocida como Lenovo Service Engine o LSE. Esta herramienta envía algunos datos no personales a los servidores de Lenovo. Recientemente, Microsoft cambió sus directrices de seguridad, y LSE no las cumplía, así que la compañía dejó de integrar ese servicio en sus nuevos portátiles y publicó un software (lo podéis descargar aquí) para eliminar LSE de los que lo tuvieran en su BIOS.

Advertisement

Se supone que aplicando esa herramienta es posible eliminar LSE, pero no está claro aún si con ello desaparece todo el software que Lenovo instala de tapdillo a través de la BIOS. Tampoco está claro cómo afecta (si lo hace) a Windows 10. Seguiremos al tanto de esta nueva vulnerabilidad en potencia para añadir más detalles si son necesarios. [Hacker News vía Ars Technica]

Click here to view this kinja-labs.com embed.

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)