Foro de elhacker.net

Foros Generales => Noticias => Mensaje iniciado por: El_Andaluz en 9 Octubre 2020, 12:35 pm



Título: Alguien ha infectado ordenadores desde la UEFI: sólo sabemos de una ocasión
Publicado por: El_Andaluz en 9 Octubre 2020, 12:35 pm
(https://i.postimg.cc/2Ss901yR/1366-2000.jpg)


Todo parte de la UEFI en un ordenador. Este componente se encuentra en un chip de la placa base de los dispositivos y es el encargado de realizar las operaciones básicas. Básicas hasta tal punto que sin UEFI el sistema operativo no se ejecuta. Es por ello que si alguien consigue hackear la UEFI e infectar un ordenador con malware en la UEFI, detectar o limpiar ese equipo es una tarea casi imposible. Y alguien lo ha hecho, alguien está infectando ordenadores con malware en la UEFI.

Según investigadores de la empresa de seguridad Kaspersky, han encontrado en equipos de sus clientes un malware del que previamente no se tenía constancia y parece ser bastante único en su especie. El malware lo detectaron en dos equipos de sus clientes a principios de este año. ¿Y por qué es tan inusual? Porque está diseñado para modificar la UEFI del ordenador de la víctima y quedarse ahí dentro. Desde ahí puede contagiar el resto del equipo tantas veces como quiera, ya que los métodos tradicionales no consiguen eliminarlo de la UEFI.


https://www.xataka.com/seguridad/alguien-ha-infectado-ordenadores-uefi-solo-sabemos-ocasion-previa-que-se-haya-conseguido-algo-asi (https://www.xataka.com/seguridad/alguien-ha-infectado-ordenadores-uefi-solo-sabemos-ocasion-previa-que-se-haya-conseguido-algo-asi)


Título: Re: Alguien ha infectado ordenadores desde la UEFI: sólo sabemos de una ocasión
Publicado por: WHK en 18 Octubre 2020, 04:27 am
Recuerdo hace muchos años cuando existían malwares que se alojaban en el sector de arranque de los discos y no podías quitarlos formateandolos, otros que se alojaban en el chip del driver de los lectores de cd, talves estamos volviendo a esas épocas, hasta hace no mucho habian placas de tinkpad con chip intel que permitian sobreescribir el firmware del thunderbolt en físico desde windows a traves de una comunicación simple, habían muchos tinkpad carbon que murieron por ese descuido porque no había forma de recuperar la placa:

Ryaw-Q0Q5oY


Título: Re: Alguien ha infectado ordenadores desde la UEFI: sólo sabemos de una ocasión
Publicado por: warcry. en 18 Octubre 2020, 14:38 pm
No me ha quedado nada claro el tema.

No se si el malware se aloja en *.efi del boot del sistema operativo o en la flash de la placa que ejecuta las instrucciones del arranque del pc en el modo UEFI

en el primer caso si desaparecería con un formateo y posterior instalacion de un imagen de S.O. oficial.

y en el segundo no desaparecería con un formateo, pero si con un flasheo de BIOS.

En cualquier caso, se puede poner el arranque legacy, CMOS o como sea que se llame en la BIOS y no se ejecutan las secuencias de arranque UEFI