Rejtett fenyegetés a laptopok BIOS-ában

A Kaspersky Lab felhívja a figyelmet a népszerű laptopok BIOS-ában lévő rejtett fenyegetésre, és arra figyelmeztet, hogy az Absolute Computrace lopás elleni szoftvere távolról eltéríthető.

A Kaspersky Lab biztonsági kutató csapatának napokban közzétett jelentése megerősíti – és demonstrálja –, hogy az Absolute Software által forgalmazott lopás elleni szoftver gyenge megvalósítása miatt egy hasznos védelmi segédprogramból a kiberbűnözők hatékony segédprogramjává válhat.

A nem megfelelő kivitelezés lehetővé teszi a támadók számára, hogy rejtett módon teljes hozzáférést szerezzenek több millió felhasználó számítógépéhez. A kutatás fókuszában az Absolute Computrace nevű ügynökprogramja állt, amely laptopok és asztali gépek firmware-ében, a PC ROM BIOS-ban kapott helyet.

A kutatás fő oka az volt, hogy felfedezték: a Kaspersky Lab kutatóinak több magánhasználatú számítógépén és vállalati gépeken előzetes engedélyezés nélkül fut a Computrace ügynökprogramja. Bár a Computrace az Absolute Software által kifejlesztett legális termék, néhány felhasználó állította, hogy soha nem telepítette, illetve aktiválta azt, és nem is tudott arról, hogy a szoftver a számítógépén található. A legtöbb hagyományos, előre telepített szoftver véglegesen eltávolítható vagy kikapcsolható a felhasználó által, azonban a Computrace-t úgy tervezték, hogy túlélje a professzionális rendszertisztítást, sőt még a merevlemez cseréjét is.

A felhasználók tévesen rosszindulatú szoftverként azonosíthatják a Computrace-t, mivel sok, a malware-ek esetében elterjedt trükköt alkalmaz, Ezek között megtalálhatók a visszafejtés elleni védelmi technikák, a más folyamatok memóriájába való injektálás, a titkos kommunikáció, a rendszerfájlok módosítása a lemezen, a titkosított konfigurációs fájlok és a végrehajtható Windows állományok futtatása közvetlenül a BIOS/firmware-ből.

„Fejlett technológiákat alkalmazó hackerek képesek lehetnek átvenni az ellenőrzést az Absolute Computrace-t futtató számítógépek felett. Ez a szoftver kémprogram telepítésére használható,” figyelmeztet a veszélyre Vitaly Kamluk, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója. „Becsléseink szerint több millió számítógépen fut az Absolute Computrace szoftver, és nagyszámú felhasználó valószínűleg nincs tudatában annak, hogy ez a program működik a gépén. Ki aktiválta a Computrace-t ezeken a számítógépeken? Vajon figyeli a szoftver működését egy ismeretlen szereplő? Ez egy rejtély, amely megoldásra vár.”

Statisztika:

·    A Kaspersky biztonsági hálózata szerint megközelítőleg 150 ezer felhasználó futtatja számítógépén a Computrace ügynököt. Az aktivált Computrace ügynökkel rendelkező felhasználók teljes száma meghaladhatja a 2 milliót. Nem ismert, hogy ezen felhasználók közül hányan tudnak arról, hogy a Computrace fut a rendszerükön.
·    Az érintett számítógépek többsége az Egyesült Államokban és Oroszországban található.

Biztonsági hiányosságok
A Computrace Small Agent által használt hálózati protokoll leehetővé teszi a távolról történő kódvégrehajtást. A protokoll nem igényel semmilyen titkosítást vagy hitelesítést a távoli szervertől, ami sokféle lehetőséget kínál a távolról történő támadásokhoz egy ellenséges hálózati környezetben.

Támadási platform


Nincs arra bizonyíték, hogy az Absolute Computrace-t jelenleg támadási platformként használnák. Azonban több vállalat szakértője szerint fennáll a támadás lehetősége, és néhányuk szerint az engedélykérés nélküli Computrace aktiválások megmagyarázatlan ténye miatt ennek a bekövetkezése egyre reálisabbnak tűnik.

Még 2009-ben a Core Security Technologies kutatói közzétették megállapításaikat az Absolute Computrace-ről. A szakértők figyelmeztettek a technológia veszélyeire, és megmutatták, hogy egy támadó hogyan tudja módosítani a regisztrációs adatbázist a Computrace kommunikációjának eltérítésére. A Computrace ügynök agresszív viselkedése volt az oka annak, hogy régebben rosszindulatú programként azonosították azt. Néhány jelentés szerint a Microsoft a Computrace-t VirTool:Win32/BeeInject-ként azonosította. Mindazonáltal a rosszindulatú minősítést később visszavonta a Microsoft és néhány biztonsági cég is. A Computrace végrehajtható állományai jelenleg a vírusellenes termékeket gyártó cégek fehérlistáján vannak.

„Egy ilyen hatékony eszköznek, mint az Absolute Powerful, hitelesítési és titkosítási mechanizmusokat kell használnia az esetleges problémák elkerülésére. Nyilvánvaló, hogy ha sok számítógép futtatja a Computrace ügynököt, a gyártó (ebben az esetben az Absolute Software) felelőssége a felhasználók informálása, annak elmagyarázása, hogy miképpen lehet a szoftvert deaktiválni és kikapcsolni,” mondta Kamluk. „Máskülönben ezek az elárvult ügynökök észrevétlenül tovább működnek, és lehetőséget nyújtanak a távolról történő kihasználásra.”

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció