Zombie Crapware Cómo funciona la tabla binaria de la plataforma Windows

Pocas personas se dieron cuenta en ese momento, pero Microsoft agregó una nueva función a Windows 8 que permite a los fabricantes infectar el firmware de UEFI con crapware. Windows continuará instalando y resucitando este software no deseado incluso después de realizar una instalación limpia.

Esta característica continúa presente en Windows 10, y es absolutamente desconcertante por qué Microsoft daría tanta potencia a los fabricantes de PC. Resalta la importancia de comprar PC en Microsoft Store: incluso realizar una instalación limpia puede no eliminar todo el software preinstalado..

WPBT 101

A partir de Windows 8, un fabricante de PC puede incrustar un programa, esencialmente un archivo .exe de Windows, en el firmware UEFI de la PC. Esto se almacena en la sección “Tabla binaria de la plataforma de Windows” (WPBT) del firmware de UEFI. Cada vez que se inicia Windows, busca el firmware UEFI para este programa, lo copia desde el firmware a la unidad del sistema operativo y lo ejecuta. Windows en sí no proporciona ninguna manera de evitar que esto suceda. Si el firmware UEFI del fabricante lo ofrece, Windows lo ejecutará sin ninguna duda..

LSE de Lenovo y sus agujeros de seguridad

Es imposible escribir sobre esta característica cuestionable sin tener en cuenta el caso que llamó la atención del público. Lenovo envió una variedad de PC con algo llamado "Lenovo Service Engine" (LSE) habilitado. Esto es lo que Lenovo afirma que es una lista completa de las PC afectadas.

Cuando Windows 8 ejecuta automáticamente el programa, Lenovo Service Engine descarga un programa llamado OneKey Optimizer e informa a Lenovo de cierta cantidad de datos. Lenovo configura los servicios del sistema diseñados para descargar y actualizar software desde Internet, lo que hace que sea imposible eliminarlos: incluso se volverán automáticamente después de una instalación limpia de Windows.

Lenovo fue aún más lejos, extendiendo esta técnica sombría a Windows 7. El firmware UEFI comprueba el archivo C: \ Windows \ system32 \ autochk.exe y lo sobrescribe con la versión propia de Lenovo. Este programa se ejecuta al inicio para verificar el sistema de archivos en Windows, y este truco le permite a Lenovo hacer que esta práctica desagradable funcione también en Windows 7. Simplemente demuestra que el WPBT no es necesario, ya que los fabricantes de PC podrían hacer que sus firmwares sobrescriban los archivos del sistema de Windows..

Microsoft y Lenovo descubrieron una gran vulnerabilidad de seguridad con esto que puede ser explotada, por lo que Lenovo, por suerte, ha dejado de enviar PC con esta basura desagradable. Lenovo ofrece una actualización que eliminará LSE de las computadoras portátiles y una actualización que eliminará LSE de las computadoras de escritorio. Sin embargo, estos no se descargan ni se instalan automáticamente, por lo que muchas de las PC de Lenovo afectadas, probablemente la más afectada, continuarán teniendo esta basura instalada en su firmware UEFI.

Este es solo otro desagradable problema de seguridad del fabricante de PC que nos trajo PC infectados con Superfish. No está claro si otros fabricantes de PC han abusado de WPBT de forma similar en algunas de sus PC..

¿Qué dice Microsoft sobre esto??

Como notas de Lenovo:

“Microsoft ha publicado recientemente pautas de seguridad actualizadas sobre cómo implementar mejor esta función. El uso de LSE por parte de Lenovo no es coherente con estas pautas y, por lo tanto, Lenovo ha dejado de enviar modelos de escritorio con esta utilidad y recomienda a los clientes con esta utilidad habilitada ejecutar una utilidad de "limpieza" que elimine los archivos LSE del escritorio ".

En otras palabras, la característica LSE de Lenovo que usa el WPBT para descargar software no deseado de Internet estaba permitida bajo el diseño original de Microsoft y las pautas para la característica WPBT. Las directrices solo han sido refinadas..

Microsoft no ofrece mucha información sobre esto. Hay un solo archivo .docx, ni siquiera una página web, en el sitio web de Microsoft con información sobre esta función. Puede aprender todo lo que quiera al leer el documento. Explica las razones de Microsoft para incluir esta función, utilizando como ejemplo el software antirrobo persistente:

"El propósito principal de WPBT es permitir que el software crítico persista incluso cuando el sistema operativo haya cambiado o se haya reinstalado en una configuración" limpia ". Un caso de uso para WPBT es habilitar el software antirrobo que debe persistir en caso de que un dispositivo haya sido robado, formateado y reinstalado. En este escenario, la funcionalidad de WPBT proporciona la capacidad para que el software antirrobo se reinstale en el sistema operativo y continúe funcionando según lo previsto ".

Esta defensa de la característica solo se agregó al documento después de que Lenovo la usó para otros fines.

¿Su PC incluye software WPBT??

En las PC que usan el WPBT, Windows lee los datos binarios de la tabla en el firmware UEFI y los copia en un archivo llamado wpbbin.exe en el arranque.

Puede verificar su propia PC para ver si el fabricante ha incluido el software en el WPBT. Para averiguarlo, abra el directorio C: \ Windows \ system32 y busque un archivo llamado wpbbin.exe. El archivo C: \ Windows \ system32 \ wpbbin.exe solo existe si Windows lo copia desde el firmware UEFI. Si no está presente, el fabricante de su PC no ha usado WPBT para ejecutar automáticamente el software en su PC.

Evitar WPBT y otros programas basura

Microsoft ha establecido algunas reglas más para esta función a raíz de la irresponsable falla de seguridad de Lenovo. Pero es desconcertante que esta característica incluso exista en primer lugar, y especialmente desconcertante es que Microsoft la proporcionaría a los fabricantes de PC sin requisitos de seguridad o directrices claras sobre su uso..

Las pautas revisadas instruyen a los fabricantes de equipos originales para garantizar que los usuarios realmente puedan deshabilitar esta función si no la desean, pero las pautas de Microsoft no han impedido que los fabricantes de PC abusen de la seguridad de Windows en el pasado. Sea testigo de las PC de envío de Samsung con la Actualización de Windows deshabilitada porque fue más fácil que trabajar con Microsoft para garantizar que se agregaron los controladores adecuados a la Actualización de Windows.

Este es otro ejemplo más de fabricantes de PC que no toman en serio la seguridad de Windows. Si planea comprar una nueva PC con Windows, le recomendamos que la compre en Microsoft Store, Microsoft realmente se preocupa por estas PC y se asegura de que no tengan un software dañino como el Superfish de Lenovo, Disable_WindowsUpdate.exe de Samsung, la función LSE de Lenovo. y toda la otra basura una PC típica puede venir con.

Cuando escribimos esto en el pasado, muchos lectores respondieron que esto no era necesario porque siempre se podía realizar una instalación limpia de Windows para deshacerse de cualquier software falso. Bueno, al parecer eso no es cierto: la única manera segura de obtener una PC con Windows sin software infalible es desde Microsoft Store. No debería ser así, pero es.

Lo que es particularmente preocupante acerca de la WPBT no es solo el fracaso total de Lenovo en su uso para convertir las vulnerabilidades de seguridad y el junkware en instalaciones limpias de Windows. Lo que es especialmente preocupante es que Microsoft proporciona características como esta a los fabricantes de PC en primer lugar, especialmente sin las limitaciones u orientación adecuadas..

También pasaron varios años antes de que esta característica se hiciera notar entre el mundo de la tecnología en general, y eso solo sucedió debido a una vulnerabilidad de seguridad desagradable. Quién sabe qué otras características desagradables se incluyen en Windows para que los fabricantes de PC las abusen. Los fabricantes de PC están arrastrando la reputación de Windows a través de muck y Microsoft necesita tenerlos bajo control..

Crédito de la imagen: Cory M. Grenier en Flickr