Популярный сервис по возвращению ноутбуков после кражи, который
предоставляется вместе с ноутбуками HP, Dell, Lenovo, Toshiba, Gateway, Asus и
Panasonic, на самом деле является опасным руткитом, контроль над которым может
быть перехвачен хакерами.

Во время презентации на конференции Black Hat Альфредо Ортега и Анибал Сакко
из Core Security Technologies заявили о том, что сервис Computrace LoJack for
Laptops имеет недостаточно устойчивую методику аутентификации и содержит
внутренние уязвимости, что может привести к полной компрометации системы. Этот
сервис, предустанавливаемый на 60% всех новых ноутбуков, представляет собой
прошитую в BIOS программу-агент, которая периодически связывается с
определенными адресами на предмет получения инструкций в случае кражи ноутбука.
С ее помощью можно как стереть содержимое жесткого диска, так и установить
местонахождение похищенного лэптопа.

Исследователи пояснили, что программа, по сути, является легальным руткитом,
поскольку для обеспечения эффективного выполнения своих задач ей требуется быть
незаметной и устойчивой к переустановке системы и форматированию жесткого диска.

Проблема заключается в том, что хакер может манипулировать процессом
удаленной связи. Это происходит из-за того, что утилита использует метод
конфигурации с IP-адресом, URL и портом, которые прошиты в Option-ROM. При
первом запуске системы программа копирует эти данные во множество мест, включая
реестр и промежуточные сектора жесткого диска, не занятые логическими дисками.

Эксперты обнаружили, что найти и модифицировать данные конфигурации не
составляет труда, поэтому у злоумышленников появляется возможность прописать в
них IP-адрес и URL вредоносного сайта, с которого потом можно осуществлять
несанкционированные действия. А поскольку руткит входит в списки разрешенных
программ у производителей антивирусов, такие вредоносные модификации останутся
незамеченными.

Специалисты посоветовали использовать для процесса общения с удаленной
системой цифровые подписи. Плюс к этому, с помощью US-CERT и одного из
производителей ноутбуков они сообщили о наличии обнаруженных ими проблем
разработчику Computrace, компании Absolute Corp.



Оставить мнение