Kaspersky Lab meldet versteckte Bedrohung im BIOS beliebter Laptops

12. Februar 2014
Allgemeine Informationen

Kaspersky Lab veröffentlicht einen Report [1], der die schwache Implementierung der Anti-Diebstahl-Software von Absolute Software demonstriert. Dadurch kann ein eigentlich nützliches Sicherheitswerkzeug in eine leistungsstarke Plattform für Cyberattacken verwandelt werden.

Bedingt durch die schwache Implementierung könnten Angreifer vollen Zugriff auf Millionen von Computern erhalten. Die Untersuchung richtete sich auf den Absolute Computrace Agenten [2], der innerhalb der Firmware oder auf dem PC ROM BIOS moderner Laptops und Desktop-PCs integriert ist.

Das Untersuchungsprojekt wurde von Kaspersky Lab durchgeführt, da der Computrace Agent auf mehreren privaten Computern der Kaspersky-Experten sowie auf Firmenrechnern ohne vorherige Autorisierung aktiviert war. Zwar ist Computrace ein legitimes Produkt von Absolute Software, einige Anwender machten jedoch geltend, dass sie die Software niemals installiert, aktiviert oder überhaupt Kenntnis von deren Existenz auf ihren Rechnern gehabt hätten. Die meisten gewöhnlichen vorinstallierten Software-Pakete können jederzeit deinstalliert oder deaktiviert werden. Computrace ist jedoch so angelegt, dass es professionelle Systemsäuberungen und sogar einen Festplattenwechsel übersteht.

Anwender könnten bei Computrace den Eindruck erlangen, dass es sich um schädliche Software handelt, weil diese ein ähnliches Verhalten wie moderne Malware aufweist: Anti-Debugging und Anti-Reverse, automatisches Ablegen von Dateien in Systemordnern, Einrichtung einer versteckten Kommunikation, das Patchen von Systemdateien auf der Festplatte, Verschlüsseln von Konfigurationsdateien und ungewöhnliche Rechteverwaltung [1].

"Akteure, die die Möglichkeit haben, Glasfaserleitungen zu nutzen, sind möglicherweise in der Lage, Computer, auf denen Absolute Computrace läuft, zu kapern. Mit der Software lassen sich Spyware-Elemente platzieren", so Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Team bei Kaspersky Lab. "Wir gehen davon aus, dass Absolute Computrace Software auf Millionen Computern läuft und zahllose Anwender nicht wissen, dass diese Software bei ihnen aktiv ist. Doch wer könnte ein Interesse daran haben, Computrace auf all diesen Rechnern zu aktivieren? Werden diese von einem unbekannten Akteur beobachtet? Dieses Rätsel muss erst noch gelöst werden."

Sicherheitsmängel können eine Vielzahl an Anwendern betreffen

Laut dem Kaspersky Security Network (KSN) [3] läuft der Computrace Agent bei etwa 150.000 Anwendern weltweit. Wie viele Nutzer bewusst Computrace einsetzen ist unklar. Die Mehrheit der aktiven Computrace-Computer stammt aus den USA und Russland.

Das von Computrace Small Agent genutzte Netzwerkprotokoll bietet Basisfunktionen, um Code aus der Ferne ausführen zu können. Das Protokoll erfordert keinen Einsatz von Verschlüsselung oder Authentifizierung des Remote-Servers, was zahlreiche Möglichkeiten für Remote-Attacken in einer feindlichen Netzwerkumgebung bietet.

Es gibt keine Belege dafür, dass Absolute Computrace als Plattform für Attacken eingesetzt wird. Allerdings ist dies laut Meinung von Experten verschiedener Unternehmen möglich. Einige alarmierende und unerklärliche Vorfälle von unautorisierten Computrace-Aktivierungen lassen diese Vermutung zunehmend realistisch erscheinen.

Bereits im Jahr 2009 haben Experten der Firma Core Security Technologies [4] deren Ergebnisse über Absolute Computrace veröffentlicht. Die Untersuchung warnte vor Gefahren dieser Technologie und zeigte, wie Angreifer die System-Registry modifizieren können, um die Rückmeldungen von Computrace abfangen zu können. Das aggressive Verhalten des Computrace Agenten war dafür verantwortlich, dass die Software in der Vergangenheit als Malware klassifiziert wurde. Laut einigen Berichten [5] wurde Computrace von Microsoft als „VirTool:Win32/BeeInject“ erkannt. Später wurde diese Erkennung von Microsoft und einigen Anti-Malware-Anbietern zurück genommen. Ausführbare Dateien von Computrace stehen aktuell bei den meisten Anti-Malware-Firmen auf der „Whitelist“.

"Derart leistungsstarke Werkzeuge wie die Software von Absolute Computrace müssen Authentifizierungs- und Verschlüsselungsmechanismen verwenden, um dem Gemeinwohl weiterhin zu nutzen. Wenn auf zahlreichen Computern Computrace Agenten laufen, liegt es in der Verantwortung des Herstellers – also hier Absolute Computrace –, die Nutzer darauf aufmerksam zu machen und zu erklären, wie sie die Software wieder deaktivieren und entfernen können", so Vitaly Kamluk, Principal Security Researcher, Global Research and Analysis Team bei Kaspersky Lab. "Ansonsten werden diese verwaisten Agenten unbemerkt weiter laufen und potentiellen Missbrauch per Fernsteuerung bieten."

Ein detaillierter Bericht über den Fall Computrace steht in englischer Sprache unter http://www.securelist.com/en/analysis/204792325/Absolute_Computrace_Revisited zur Verfügung.

Nützliche Links:

[1] http://www.securelist.com/en/analysis/204792325/Absolute_Computrace_Revisited
[2] www.absolute.com/de/products/absolute-computrace und http://www3.absolute.com/de/landing/Google/absolute-software-google/computrace-and-absolute-manage
[3] Am cloudbasierte Kaspersky Security Network (KSN) können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KES8_Whitepaper_4_KSN.pdf abrufbar ist.
[4] http://corelabs.coresecurity.com/index.php?module=Wiki&action=view&type=publication&name=Deactivate_the_Rootkit
[5] http://social.technet.microsoft.com/Forums/forefront/en-US/250b9b15-f974-41f3-8f9e-7e307bf07793/rpcnetdll-absolute-computracelojack-for-laptops-related-false-positive?forum=FCSNext

 Share this page