15Aug
Pocas personas lo notaron en ese momento, pero Microsoft agregó una nueva característica a Windows 8 que permite a los fabricantes infectar el firmware de UEFI con crapware. Windows continuará instalando y resucitando este software no deseado incluso después de realizar una instalación limpia.
Esta característica continúa estando presente en Windows 10, y es absolutamente desconcertante por qué Microsoft les daría tanta potencia a los fabricantes de PC.Resalta la importancia de comprar PC en la tienda de Microsoft: incluso realizar una instalación limpia puede no eliminar todos los bloatware preinstalados.
WPBT 101
A partir de Windows 8, un fabricante de PC puede integrar un programa, básicamente un archivo. exe de Windows, en el firmware UEFI de la PC.Esto se almacena en la sección "Tabla binaria de la plataforma de Windows"( WPBT) del firmware de UEFI.Cada vez que Windows arranca, mira el firmware de UEFI para este programa, lo copia del firmware a la unidad del sistema operativo y lo ejecuta. Windows mismo no proporciona ninguna forma de evitar que esto suceda. Si el firmware UEFI del fabricante lo ofrece, Windows lo ejecutará sin duda.
LSE de Lenovo y sus agujeros de seguridad
Es imposible escribir sobre esta característica dudosa sin tener en cuenta el caso que lo llamó la atención del público. Lenovo envió una variedad de computadoras con algo llamado "Lenovo Service Engine"( LSE) habilitado. Esto es lo que Lenovo afirma es una lista completa de las PC afectadas.
Cuando Windows 8 ejecuta automáticamente el programa, Lenovo Service Engine descarga un programa llamado OneKey Optimizer e informa cierta cantidad de datos a Lenovo. Lenovo establece servicios de sistema diseñados para descargar y actualizar software de Internet, por lo que es imposible eliminarlos; incluso volverán automáticamente después de una instalación limpia de Windows.
Lenovo fue aún más lejos al extender esta técnica sombría a Windows 7. El firmware de UEFI verifica el archivo C: \ Windows \ system32 \ autochk.exe y lo sobrescribe con la versión de Lenovo. Este programa se ejecuta al arrancar para verificar el sistema de archivos en Windows, y este truco le permite a Lenovo hacer que esta desagradable práctica también funcione en Windows 7.Simplemente demuestra que el WPBT ni siquiera es necesario: los fabricantes de PC podrían simplemente hacer que sus firmwares sobrescribieran los archivos del sistema de Windows.
Microsoft y Lenovo descubrieron una importante vulnerabilidad de seguridad con esto que puede ser explotada, por lo que Lenovo ha dejado de enviar PC con esta desagradable basura. Lenovo ofrece una actualización que eliminará LSE de las PC portátiles y una actualización que eliminará LSE de las PC de escritorio. Sin embargo, estos no se descargan e instalan automáticamente, por lo que muchas PC de Lenovo probablemente más afectadas continuarán teniendo esta basura instalada en su firmware UEFI.
Este es solo otro desagradable problema de seguridad del fabricante de PC que nos trajo las PC infectadas con Superfish. No está claro si otros fabricantes de computadoras han abusado del WPBT de manera similar en algunas de sus computadoras.
¿Qué dice Microsoft sobre esto?
Como señala Lenovo:
"Microsoft ha publicado recientemente directrices de seguridad actualizadas sobre cómo implementar mejor esta característica. El uso de Lenovo de LSE no concuerda con estas pautas, por lo que Lenovo ha dejado de enviar modelos de escritorio con esta utilidad y recomienda a los clientes que tengan esta utilidad habilitada ejecutar una utilidad de "limpieza" que elimine los archivos LSE del escritorio. "
En otras palabras,la función Lenovo LSE que usa WPBT para descargar el junkware de Internet se permitió bajo el diseño original de Microsoft y las pautas para la característica WPBT.Las pautas solo han sido refinadas.
Microsoft no ofrece mucha información sobre esto. Solo hay un solo archivo. docx, ni siquiera una página web, en el sitio web de Microsoft con información sobre esta función. Puedes aprender todo lo que quieras al leer el documento. Explica los motivos de Microsoft para incluir esta característica, utilizando un software antirrobo persistente como ejemplo:
"El objetivo principal de WPBT es permitir que el software crítico persista incluso cuando el sistema operativo ha cambiado o se ha reinstalado en una configuración" limpia ".Un caso de uso para WPBT es habilitar el software antirrobo que se requiere para persistir en caso de que un dispositivo haya sido robado, formateado y reinstalado. En este escenario, la funcionalidad WPBT proporciona la capacidad para que el software antirrobo se reinstale en el sistema operativo y continúe funcionando según lo previsto. "
Esta defensa de la función solo se agregó al documento después de que Lenovo la usara para otros fines.
¿Su PC incluye el software WPBT?
En las PC que usan WPBT, Windows lee los datos binarios de la tabla en el firmware UEFI y los copia en un archivo llamado wpbbin.exe al arrancar.
Puede verificar su propia PC para ver si el fabricante ha incluido el software en la WPBT.Para averiguarlo, abra el directorio C: \ Windows \ system32 y busque un archivo llamado wpbbin.exe .El archivo C: \ Windows \ system32 \ wpbbin.exe solo existe si Windows lo copia del firmware UEFI.Si no está presente, el fabricante de su PC no ha utilizado WPBT para ejecutar automáticamente el software en su PC.
Evitar WPBT y otros tipos de software no deseado
Microsoft ha establecido algunas reglas más para esta función tras la falla de seguridad irresponsable de Lenovo. Sin embargo, es desconcertante que esta característica exista en primer lugar, y especialmente desconcertante que Microsoft se lo proporcionaría a los fabricantes de PC sin ningún requisito claro de seguridad o directrices sobre su uso.
Las directrices revisadas instruyen a los OEM para asegurar que los usuarios realmente puedan desactivar esta característica si no la quieren, pero las pautas de Microsoft no han impedido que los fabricantes de PC abusen de la seguridad de Windows en el pasado. Sea testigo de las PC de envío de Samsung con la actualización de Windows deshabilitada porque era más fácil que trabajar con Microsoft para garantizar que se agregaran los controladores adecuados a la Actualización de Windows.
Este es otro ejemplo más de fabricantes de PC que no toman en serio la seguridad de Windows. Si está planeando comprar una nueva PC con Windows, le recomendamos que compre una de la Microsoft Store, Microsoft realmente se preocupa por estas PC y se asegura de que no tengan software dañino como Superfish de Lenovo, Disable_WindowsUpdate.exe de Samsung, la función LSE de Lenovo,y todas las otras basuras con las que podría venir una PC típica.
Cuando escribimos esto en el pasado, muchos lectores respondieron que esto era innecesario porque siempre se podía realizar una instalación limpia de Windows para deshacerse de cualquier bloatware. Bueno, aparentemente eso no es cierto: la única forma infalible de obtener una PC con Windows libre de bloatware es de Microsoft Store. No debería ser de esta manera, pero lo es.
Lo que es particularmente preocupante acerca del WPBT no es solo la falla completa de Lenovo al usarlo para crear vulnerabilidades de seguridad y el junkware en instalaciones limpias de Windows. Lo que es especialmente preocupante es que Microsoft ofrezca funciones como esta a los fabricantes de PC en primer lugar, especialmente sin las debidas limitaciones u orientación.
Pasaron varios años antes de que esta característica incluso se notara entre el mundo de la tecnología en general, y eso solo ocurrió debido a una desagradable vulnerabilidad de seguridad.¿Quién sabe qué otras características desagradables están incorporadas en Windows para que los fabricantes de PC abusen de ellas? Los fabricantes de PC están arrastrando la reputación de Windows a través del fango y Microsoft necesita controlarlos. Crédito de imagen
: Cory M. Grenier en Flickr