Como software legítimo também se pode tornar malicioso: o caso do Absolute Computrace

19 fev 2014
Comunicados de Imprensa

  • A Kaspersky Lab confirma a existência de uma ameaça oculta nas BIOS dos computadores portáteis mais populares e avisa que o software anti-roubo Absolute Computrace pode sequestrar o equipamento remotamente
  • Milhões de computadores executam o software Absolute Computrace e um grande número de utilizadores podem não ter consciência de que está activo e em funcionamento

A equipa de investigação de segurança da Kaspersky Lab acaba de publicar um relatório que confirma - e demonstra - que a aplicação de software anti-roubo comercializado pela Absolute Software pode passar de um utilitário defensivo a uma grande ferramenta útil para hackers.

Este software tem uma vulnerabilidade que permitiria a um atacante o acesso completo a milhões de computadores dos utilizadores. O foco da investigação realizada foi o agente Absolute Computrace que reside no firmware ou PC ROM BIOS, dos computadores portáteis e desktop modernos.

Na origem deste projecto de investigação esteve a descoberta de que o agente Computrace corria sem autorização prévia em vários equipamentos privados dos analistas da Kaspersky Lab, assim como nos computadores corporativos. O Computrace é um produto original desenvolvido pela Absolute Software e, apesar de ter um componente na BIOS, não deveria ser activado a não ser que o proprietário contrate e instale o agente do Computrace. Alguns proprietários dos sistemas afirmaram que nunca o tinham instalado e apesar disso descobriram que se encontrava activo.

A maioria dos pacotes de software pré-instalados nos equipamentos pode ser eliminada permanentemente ou desactivada. No entanto, o Computrace está desenhado para sobreviver a essa limpeza do sistema inclusive se o disco rígido for substituído, uma vez que reside na BIOS.

"Existem pessoas com capacidade para aceder directamente às redes de dados e que podem sequestrar os equipamentos que executam o Absolute Computrace. Pode-se manipular a comunicação deste software para que instale um spyware no equipamento vítima", adverte Vitaly Kamluk, principal analista de Segurança do GREAT da Kaspersky Lab. "Estimamos que milhões de computadores têm instalado por defeito o software Absolute Computrace e um grande número de utilizadores podem não ter consciência de que está activo e em funcionamento. Quem teria um motivo para activar o Computrace em todos os computadores afectados? Estarão a ser monitorizados por algum elemento desconhecido? Esse é um mistério que há que resolver".

Estatísticas 

  • O número estimado de utilizadores com este agente activo pode ultrapassar os dois milhões. Não se sabe quantos desses utilizadores têm noção de ter o Computrace instalado nos seus sistemas. Segundo a Kaspersky Security Network, existem 150.000 utilizadores com um agente do Computrace instalado nos seus equipamentos.
  • A maioria destes computadores está localizada nos Estados Unidos e Rússia.

Falhas de segurança

O protocolo de rede utilizado pelo Computrace Small Agent proporciona funcionalidades básicas para executar código de forma remota. O protocolo não requer o uso de encriptação nem de autentificação do servidor remoto, o que dá muitas possibilidades para que sejam realizados ataques remotos num ambiente de rede hostil. 

 Uma plataforma de ataque

Não há qualquer prova que indique que o Absolute Computrace está a ser usado como uma plataforma de ataque. De qualquer forma, peritos de várias companhias põem a hipótese de ataques motivados; algumas activações sem autorização do Computrance tornam esta teoria cada vez mais credível.

Em 2009, investigadores da Core Security Technologies apresentaram as suas descobertas acerca do Absolute Computrace. Já então, os investigadores alertaram para os perigos desta tecnologia e como um cibercriminoso poderia modificar o registo para atacar as comunicações com os seus servidores. Anteriormente, tinha sido detectado como malware devido a um comportamento agressivo do Computrace Agent.

De acordo com vários relatórios, o Computrance foi detectado pela Microsoft como VirTool:Win32/BeeInject, embora esta detecção tenha sido depois eliminada pela Microsoft e outros fabricantes de antivírus e, hoje, os executáveis do Computrace estão categorizados nas listas brancas da maioria das marcas de soluções antimalware.

“Uma ferramenta tão potente como o software Absolute Computrance deve utilizar mecanismos de autentificação e encriptação para continuar a prestar um serviço de alta qualidade. Parece claro que, se existe um grande número de computadores com agentes do Computrance activos, é responsabilidade do fabricante (neste caso da Absolute Software) notificar os utilizadores e explicar-lhes como podem desactivar e desinstalar o software”, explica Kamluk. “Caso contrário, os agentes continuarão a funcionar, dando azo a que se produza uma exploração remota do sistema”.

Para ler o relatório completo com uma descrição detalhada da operação Absolute Computrace Agent, visite a Securelist.

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.