Windows 8 Secure Boot se puede hackear


Secure Boot es un mecanismo que Microsoft añadió a Windows 8 para mejorar la seguridad de su sistema operativo. Lo que hace Windows 8 Secure Boot es impedir que se ejecute cualquier programa no firmado y certificado por Microsoft, de forma que una amenaza que quiera ejecutarse durante el arranque del sistema operativo se vería bloqueada.





Ahora un grupo de investigadores han descubierto que este mecanismo puede ser anulado en los ordenadores de algunos fabricantes por un descuido en la manera en que estos vendedores implementan la especificación Unified Extensible Firmware Interface (UEFI).

Fue durante el evento Black Hat que la semana pasada se celebró en Las Vegas cuando los investigadores Andrew Furtak, Oleksandr Bazhaniuk y Yuriy Bulygin demostraron cómo anular Secure Boot para instalar un ‘boot rootkit’ –que es precisamente el tipo de malware contra el que está diseñado el mecanismo, en un ordenador afectado.

Los tres investigadores aseguraron durante su presentación que el exploit es posible no porque Secure Boot tenga vulnerabilidades, sino a consecuencia de los errores cometidos por los fabricantes en la implementación de UEFI.

El exploit funciona porque ciertos vendedores no protegen adecuadamente su firmware, lo que permite que un atacante pueda modificar el código responsable de que el arranque se realice de manera segura.

En una de sus demostraciones, los investigadores ejecutaron el exploit con permisos de usuario, lo que significa que los atacantes sólo tendrían que explotar una vulnerabilidad de una aplicación popular, como Java, Adobe Flash o Microsoft, para poder lanzar sus ataques.

Los expertos no ofrecieron los detalles técnicos de sus investigaciones ni los nombres de los fabricantes cuyos productos se ven afectados para dar tiempo a que se solucionen los problemas.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es/



Otras noticias de interés:

Nuevas versiones de Bugzilla
Las versiones de Bugzilla previas a la 2.14.4 o 2.16.1 contienen varias vulnerabilidades de seguridad. Bugzilla es un sistema de base de datos para comunicar bugs y asignarlos a desarrolladores, obteniendo una gran simplificación administrativa resp...
PRÓXIMO CURSO DE PHP EN VALENCIA - CARABOBO
Esta pautado a realizarse un nuevo curso básico de PHP, en la ciudad de Valencia, Carabobo los días 7 y 8 de julio. El curso está estructurado para llevarlo a modo intensivo, y poder realizarlo en todo un fin d...
3 razones porque los empleados no siguen las reglas de seguridad
Un estudio reciente encontró que los empleados continúan ignorando las políticas de seguridad. (sorpresa, sorpresa). He aquí un recordatorio de que lo que a menudo falta en las organizaciones tientan a los trabajadores a caminar por el lado equiv...
BYOD, trae nuevos retos a la seguridad corporativa
Fortinet presenta los resultados de un estudio llevado a cabo para tratar a fondo el fenómeno del BYOD - Bring Your Own Device (trae tu propio dispositivo) - y sus implicaciones en la seguridad corporativa. Entre las principales conclusiones destaca...
Actualización de Firefox 3.6.10
Tan sólo hace una semana atrás Mozilla lanzaba Firefox 3.6.9 con interesantes cambios entre los que se destacaba la tan esperada defensa contra ataques clickjacking. Hoy, menos de siete días después, han lanzado una nueva versión (Firefox 3.6.10...
El mundo de la Informática Forense (Capitulo II)
Actualmente la realidad competitiva de las empresas, hace imprescindible para ellas acoplarse a las tecnologías de seguridad de la información disponibles, por lo que es prioritario que las empresas tomen medidas para protege...
Microsoft niega responsabilidades en ataques masivos
En una entrada del blog del equipo de seguridad del centro de respuestas de Microsoft, la compañía niega que los recientes ataques de inyección de código SQL que han permitido que miles de sitios se conviertan en potenciales peligros de infecció...
Spammers aprovechan las aplicaciones de Google
Una nueva variante del timo Nigeriano, utiliza Google Calendar para hacer creer a la víctima que ha recibido una importante suma de dinero. ...
Ofrecen recompensa por hacking de Xbox
El programador que logre hacer que Linux funcione legalmente en la consola de juegos Xbox de Microsoft podrá cobrar 200.000 dólares de premio. ...
El navegador Chrome se sincronizará en la nube
Google ha anunciado planes para que el navegador de la compañía integre un sistema de sincronización en la nube para llevar nuestros marcadores y datos a cualquier sitio. Es una característica realmente útil si utilizas varios equipos y es de su...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • boot
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hackear
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • secure
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra