Rejtett fenyegetés a laptopok BIOS-ában
A Kaspersky Lab felhívja a figyelmet a népszerű laptopok BIOS-ában lévő rejtett fenyegetésre, és arra figyelmeztet, hogy az Absolute Computrace lopás elleni szoftvere távolról eltéríthető.
A nem megfelelő kivitelezés lehetővé teszi a támadók számára, hogy rejtett módon teljes hozzáférést szerezzenek több millió felhasználó számítógépéhez. A kutatás fókuszában az Absolute Computrace nevű ügynökprogramja állt, amely laptopok és asztali gépek firmware-ében, a PC ROM BIOS-ban kapott helyet.
A kutatás fő oka az volt, hogy felfedezték: a Kaspersky Lab kutatóinak több magánhasználatú számítógépén és vállalati gépeken előzetes engedélyezés nélkül fut a Computrace ügynökprogramja. Bár a Computrace az Absolute Software által kifejlesztett legális termék, néhány felhasználó állította, hogy soha nem telepítette, illetve aktiválta azt, és nem is tudott arról, hogy a szoftver a számítógépén található. A legtöbb hagyományos, előre telepített szoftver véglegesen eltávolítható vagy kikapcsolható a felhasználó által, azonban a Computrace-t úgy tervezték, hogy túlélje a professzionális rendszertisztítást, sőt még a merevlemez cseréjét is.
A felhasználók tévesen rosszindulatú szoftverként azonosíthatják a Computrace-t, mivel sok, a malware-ek esetében elterjedt trükköt alkalmaz, Ezek között megtalálhatók a visszafejtés elleni védelmi technikák, a más folyamatok memóriájába való injektálás, a titkos kommunikáció, a rendszerfájlok módosítása a lemezen, a titkosított konfigurációs fájlok és a végrehajtható Windows állományok futtatása közvetlenül a BIOS/firmware-ből.
„Fejlett technológiákat alkalmazó hackerek képesek lehetnek átvenni az ellenőrzést az Absolute Computrace-t futtató számítógépek felett. Ez a szoftver kémprogram telepítésére használható,” figyelmeztet a veszélyre Vitaly Kamluk, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója. „Becsléseink szerint több millió számítógépen fut az Absolute Computrace szoftver, és nagyszámú felhasználó valószínűleg nincs tudatában annak, hogy ez a program működik a gépén. Ki aktiválta a Computrace-t ezeken a számítógépeken? Vajon figyeli a szoftver működését egy ismeretlen szereplő? Ez egy rejtély, amely megoldásra vár.”
Statisztika:
· A Kaspersky biztonsági hálózata szerint megközelítőleg 150 ezer felhasználó futtatja számítógépén a Computrace ügynököt. Az aktivált Computrace ügynökkel rendelkező felhasználók teljes száma meghaladhatja a 2 milliót. Nem ismert, hogy ezen felhasználók közül hányan tudnak arról, hogy a Computrace fut a rendszerükön.
· Az érintett számítógépek többsége az Egyesült Államokban és Oroszországban található.
Biztonsági hiányosságok
A Computrace Small Agent által használt hálózati protokoll leehetővé teszi a távolról történő kódvégrehajtást. A protokoll nem igényel semmilyen titkosítást vagy hitelesítést a távoli szervertől, ami sokféle lehetőséget kínál a távolról történő támadásokhoz egy ellenséges hálózati környezetben.
Támadási platform
Nincs arra bizonyíték, hogy az Absolute Computrace-t jelenleg támadási platformként használnák. Azonban több vállalat szakértője szerint fennáll a támadás lehetősége, és néhányuk szerint az engedélykérés nélküli Computrace aktiválások megmagyarázatlan ténye miatt ennek a bekövetkezése egyre reálisabbnak tűnik.
Még 2009-ben a Core Security Technologies kutatói közzétették megállapításaikat az Absolute Computrace-ről. A szakértők figyelmeztettek a technológia veszélyeire, és megmutatták, hogy egy támadó hogyan tudja módosítani a regisztrációs adatbázist a Computrace kommunikációjának eltérítésére. A Computrace ügynök agresszív viselkedése volt az oka annak, hogy régebben rosszindulatú programként azonosították azt. Néhány jelentés szerint a Microsoft a Computrace-t VirTool:Win32/BeeInject-ként azonosította. Mindazonáltal a rosszindulatú minősítést később visszavonta a Microsoft és néhány biztonsági cég is. A Computrace végrehajtható állományai jelenleg a vírusellenes termékeket gyártó cégek fehérlistáján vannak.
„Egy ilyen hatékony eszköznek, mint az Absolute Powerful, hitelesítési és titkosítási mechanizmusokat kell használnia az esetleges problémák elkerülésére. Nyilvánvaló, hogy ha sok számítógép futtatja a Computrace ügynököt, a gyártó (ebben az esetben az Absolute Software) felelőssége a felhasználók informálása, annak elmagyarázása, hogy miképpen lehet a szoftvert deaktiválni és kikapcsolni,” mondta Kamluk. „Máskülönben ezek az elárvult ügynökök észrevétlenül tovább működnek, és lehetőséget nyújtanak a távolról történő kihasználásra.”
Kapcsolódó cikkek
- A Flextronics elleni kibertámadás miatt emeltek vádat öt ember ellen Zalában
- Kiberbiztonság: a Kaspersky Lab Nemzetközi Tanácsadó Testületet alapított
- The Mask: 7 éve tartó globális kibertámadást észlelt a Kaspersky Lab
- Rekordszámú kibertámadás érte tavaly a japán intézményeket
- Ügyfelek tízezreinek adatait lopták el egy brit nagybanktól
- Újabb adathalász támadás az OTP ügyfelei ellen
- Deloitte: a magyar cégek is szervezett kibertámadások célpontjai lehetnek
- Adathalász e-mailekkel támadják az OTP Bank ügyfeleit
- Amerikai és európai megrendelésre dolgozó hackert fogtak el Kínában
- Izraeli lap: Palesztin kibertámadás történt izraeli állami szervek számítógépei ellen