Seguridad

El software OEM preinstalado en los PC presenta serias implicaciones de seguridad

La práctica suele ser habitual, especialmente en la familia de equipos pertenecientes a la gama de consumo, donde se ofrecen junto al sistema operativo, toda una serie de programas y herramientas que en teoría nos permitirán sacar mayor partido al equipo. En realidad, abren las puertas a la ejecución de código malicioso.

Usuario portátil con virus

El software OEM que habitualmente podemos encontrar preinstalado en los equipos que se comercializan a modo de herramientas de actualización, pueden convertirse en un serio problema de seguridad, según anticipan algunos investigadores que han encontrado defectos en la ejecución remota de código. Además, algunos sistemas de actualización de software y drivers empleado por fabricantes, expone en mayor medida a sufrir de alguna vulnerabilidad.

Los investigadores de la empresa de seguridad Duo Security han comprobado que las actualizaciones del software que viene instalado por defecto en dichos portátiles, hacen posible que los atacantes puedan ejecutar código de forma remota adquiriendo privilegios del sistema. La compañía afirma haberlo detectado en cinco de las marcas que más cuota de mercado tienen a nivel mundial, como son Acer, ASUS, Lenovo, Dell y HP.

En la mayoría de los casos, los problemas se deben a las actualizaciones del software OEM, que no utilizan conexiones encriptadas del tipo HTTPS al comprobar la existencia para la descarga de actualizaciones. Además, algunos sistemas de actualización no comprueban que los archivos descargados fueron firmados digitalmente por el OEM antes de ejecutarlas.

La falta de cifrado en las comunicaciones establecidas entre la herramienta de actualización y los servidores OEM permite a los atacantes interceptar las peticiones para servir código malicioso en su lugar, el cual es ejecutado por la misma herramienta instalada en el equipo. Esto es lo que se conoce como un ataque de tipo ‘man-in-the-middle’ y puede ser lanzado incluso desde redes inalámbricas inseguras, desde router comprometidos, o desde elementos pertenecientes a toda la cadena de la infraestructura de red, como pueden ser los ISP con malas intenciones o las agencias de inteligencia.

El informe elaborado por los investigadores de Duo Security, ofrece un estudio pormenorizado de las plataformas y procesos llevados a cabo por cada uno de los sistemas de actualización empleados por los fabricantes.

En líneas generales, las conclusiones que se extraen del informe son que el software OEM está poniendo en riesgo a los usuarios y empresas, debido a los mecanismos de actualización desarrollados. Por su propia naturaleza, estas herramientas disponen de privilegios elevados para poder actualizar el firmware de los equipos, los controladores de elementos de la placa base, así como aspectos relacionados con la personalización del software de la marca. Esto hace que se conviertan en un blanco muy interesante para sufrir ciberataques. Los investigadores también destacan los limitados procesos llevados a cabo por las firmas para revisar sus procesos de actualización, lo que facilita la labor a los atacantes.

Recomendaciones

El estudio concluye con diversas recomendaciones ofrecidas tanto a usuarios de los equipos, como a los fabricantes OEM. A los usuarios les anima a limpiar el equipo de programas secundarios y crearse su propia copia de seguridad. Es entonces cuando deben volver a instalar una copia limpia y libre de programas de este tipo.

En lo que respecta a los vendedores, afirman que la compra de los sistemas de validación de firmas Microsoft Signature no garantiza la protección total. Los fabricantes OEM deberían endurecer sus procesos de actualización utilizando TLS para la transmisión segura de archivos ejecutables y paquetes. También deben garantizar la adecuada validación de firmas Authenticode, validando los ejecutables que son firmados como de confianza antes de ser distribuidos entre los usuarios de sus equipos.

Algunos de los casos más recientes relacionados con lo tratado son el denominado Superfish, el adware preinstalado en los ordenadores Lenovo, así como el eDellRoot que se aprovechó de los certificados raíz de Windows en los equipos comercializados por Dell.

Es una noticia del servicio de noticias IDG News Service



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper