Image default
Recentes Security

Lenovo utilizava rootkit para instalar software secretamente

Há dois anos, a empresa chinesa Lenovo ficou proibida de fornecer equipamentos para as redes de inteligẽncia dos serviços de inteligência e defesa de vários países devido à pirataria e preocupações com espionagem.

No início deste ano, a Lenovo foi pega em flagrante por vender laptops com o malware Superfish pré-instalado.

Recentemente a empresa está suspeita de utilizar novamente um recurso escondido do Windows que instala secrertamente um rootkit no SO de alguns laptops e desktops Lenovo.

O recurso é conhecido como “Lenovo Service Engine” (LSE), onde uma parte do código é introduzida no firmware da placa-mãe do computador.

Se o Windows estiver instalado, o LSE faz automaticamente o download e instala o software da Lenovo durante o tempo de inicialização antes do sistema operacional ser carregado, substituindo os arquivos do Windows.

A parte mais preocupante do recurso é que ele insere código no software que atualiza os drivers, firmware e outros aplicativos que vêm pré-instalados no Windows, mesmo que você tenha efetuado uma limpeza no sistema novo.

Assim, mesmo que você desinstale ou exclua os programas da Lenovo, o LSE que está escondido no firmware irá carregá-los novamente assim que você desligar ou reiniciar a sua máquina.

Usuários de vários fóruns estão criticando a Lenovo sobre este tipo de comportamento, e estão suspeitando de que a fabricante chinesa instalou um “bootkit” que “sobrevive” a uma formatação ou reinstalação do sistema operacional.

O problema foi descoberto pela primeira vez e relatado por usuários no mês de maio, quando novos laptops Lenovo foram lançados.

lenovo
Fonte: The Hacker News

O que o software indesejado faz?

Para desktops:

Conforme informado pela Lenovo, o software não envia qualquer informação de pessoal, mas envia para os seus servidores algumas informações básicas, como o modelo, data, região e ID do sistema

Além disso, a empresa afirma que este processo é feito apenas uma vez, ou seja, envia as informações para seus servidores apenas quando a máquina se conecta pela primeira vez à Internet.

Para laptops:

No caso de computadores portáteis, o software faz um pouco mais. O LSE instala um programa chamado OneKey Optimizer (OKO) e reside muitos laptops Lenovo.

Segundo a empresa, o software OKO é utilizado para melhorar o desempenho do computador por “atualizar o firmware, drivers e aplicativos pré-instalados”, bem como “efetuar varredura em busca de lixos e encontrar fatores que possam influenciar no desempenho do sistema.

O OneKey se enquadra na categoria de “Crapware”. A pior parte é que tanto o LSE como o OKO parecem ser inseguros.

Em abril, o pesquisador de segurança Roel Schouwenberg relatou alguns problemas de segurança, incluindo buffer overflow (estouro de pilha ou DoS) e conexões de rede inseguras à Lenovo e Microsoft.

Isso forçou a Lenovo a não incluir mais o LSE em seus novos computadores/laptos que fabricarem desde junho deste ano. A empresa também forneceu atualizações de firmware para os laptops vulneráveis, bem como instruções de como desativar a opção nas máquinas afetadas, além de remover os arquivos do LSE.

Os computadores de codinome Flex e Yoga que possuem instalados o Windows 7, 8 e 8.1 também são afetados por esse problema. Você pode ver a lista completa de notebooks e desktops afetados no site da Lenovo.

A empresa desde então, lançou um comunicado oficial no qual constata que as máquinas fabricadas a partir de junho possuem um firmware de BIOS que elimina o problema, não possuindo mais o Lenovo Service Engine nesses PCs.

Como remover o Lenovo Service Engine (Rootkit) ?

Para remover o LSE de máquinas infectadas, terá que fazer o procedimento manualmente. Siga os passos abaixo:

  • Conheça o seu sistema (se ele é uma versão 32 ou 64 bits do Windows);
  • Navegue até o Aviso de Segurança da Lenovo, e selecione o link específico da sua máquina Lenovo;
  • Clique no botão “Date” para a atualização mais recente;
  • Procure pelo “Lenovo LSE Windows Disabler Tool” ou “Ferramenta para desativar o Lenovo LSE do Windows”, e clique no ícone de donwload ao lado da versão que corresponde a versão do seu Windows;
  • Abra o programa, assim que fizer o download. Ele irá remover o software LSE.


Links para o download da ferramenta que remove o LSE

 

Fonte: The Hacker News

Posts similares

That fowl subdue

O Analista

Microsoft libera boletim para correção de vulnerabilidades

O Analista

Vem aí o evento ‘White & Black Hackers 4’

O Analista