Video: Come rimuovere un virus da Windows - Cosa fare e cosa non fare (Settembre 2024)
Secondo un ricercatore di Kaspersky Lab, un popolare software antifurto installato su laptop di quasi tutti i principali produttori di computer può essere utilizzato dagli aggressori per dirottare i computer.
Absolute Software afferma che il suo prodotto Computrace aiuta le organizzazioni a tracciare e proteggere i loro endpoint. Per quanto riguarda Kaspersky Lab, lo strumento può essere utilizzato dagli utenti malintenzionati per monitorare e controllare in remoto queste macchine e persino cancellare tutte le informazioni dal computer.
"È chiaro che se ci sono molti computer con agenti Computrace in esecuzione, è responsabilità del produttore informare gli utenti e spiegare come il software può essere disattivato e disabilitato", ha affermato Vitaly Kamluk, un ricercatore di sicurezza principale presso Kasperksy Lab.
Kamluk ha detto ai partecipanti al summit degli analisti della sicurezza di Kaspersky Lab della scorsa settimana che è stato sorpreso di trovare Computrace sul suo laptop di casa nonostante non abbia mai acquistato o installato nulla da Absolute Software. Non è l'unico, in quanto vi sono altri rapporti degli utenti online "che affermano di averli trovati sui loro computer e che non avevano mai acquistato Absolute", ha detto
Computrace Inside
Computrace sembra essere preinstallato su una dozzina di importanti produttori di laptop, tra cui Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu e Gamatech. Dal momento che è destinato a essere utilizzato come strumento antifurto, viene inserito nella lista bianca dei principali fornitori di antivirus in modo che la maggior parte degli utenti non abbia mai idea del software sui propri computer. "Tutte le aziende lo vedono come un prodotto legittimo", ha dichiarato Anibal Sacco, co-fondatore e ricercatore di Cubica Labs che ha analizzato per la prima volta Computrace nel 2009 mentre era a Core Security Technologies.
L'agente risiede nel firmware, quindi non importa quale sistema operativo stai utilizzando o che tipo di protezioni di sicurezza hai. È incorporato direttamente nell'hardware ed è difficile da rimuovere. La maggior parte dei software preinstallati può essere rimossa o disabilitata in modo permanente dall'utente, ma Computrace è progettata per sopravvivere alla pulizia professionale del sistema e persino alla sostituzione del disco rigido.
Secondo le statistiche fornite dalla rete di sicurezza di Kaspersky, ci sono circa 150.000 utenti con l'agente Computrace in esecuzione sui propri computer, il che significa che il numero di utenti in tutto il mondo con Computrace attivo può superare i 2 milioni. La maggior parte di questi computer si trova negli Stati Uniti e in Russia, ha affermato Kaspersky Lab.
Comportamento problematico
Mentre Computrace è un software commerciale progettato per fare del bene, utilizza molti degli stessi trucchi del malware, incluso l'uso di tecniche di anti-debugging e anti-reverse engineering, l'iniezione di memoria in altri processi e la crittografia dei file di configurazione. Sacco ha descritto lo strumento come un "toolkit latente" e ha notato che l'agente Windows non ha alcuna autenticazione. Computrace comunica con i server di Absolute Software su un canale non crittografato e memorizza le informazioni non crittografate. Il protocollo di rete può essere utilizzato per l'esecuzione di codice in modalità remota ed è vulnerabile agli abusi, ha avvertito Sacco.
Kaspersky Lab ha affermato che la crittografia sembra essere stata aggiunta al protocollo di rete in una fase successiva delle comunicazioni, ma che gli aggressori possono ancora sfruttare i componenti non crittografati per dirottare il sistema in remoto. Kamluk ha affermato che Computrace potrebbe essere utilizzato per installare spyware sugli endpoint, reindirizzare tutto il traffico da un computer che esegue Small Agent all'host dell'attaccante tramite avvelenamento da ARP e lanciare un attacco di servizio DNS per indurre l'agente a collegarsi a un falso server C&C, a nominane alcuni.
"C'è un grosso problema con questo", ha detto Sacco ai partecipanti.
Nessun problema qui?
Il CTO di Absolute Software, Phil Gardner, ha criticato la ricerca di Kaspersky come "imperfetta" e ha affermato che aveva "discutibile merito tecnico". Absolute Software ha affermato che Computrace utilizza la crittografia e l'autenticazione sul server, il che impedirebbe i tipi di attacchi di cui Kamluk ha avvertito. L'agente non comunicherà con un server a meno che non sia autorizzato e "comunicherà solo con l'autenticazione reciproca del server e del client", ha dichiarato Gardner.
Prima che un utente malintenzionato possa utilizzare Computrace in modo dannoso, l'endpoint deve essere compromesso. "Gli ostacoli al montaggio di un simile attacco sono notevoli e non sono raggiungibili tramite il meccanismo delineato nel rapporto Kaspersky", ha affermato Absolute Software in una FAQ.
Anche così, se non ti piace l'idea di qualcosa in esecuzione sul tuo computer che non conosci, puoi seguire le istruzioni di Kaspersky Lab per trovare e disabilitare Computrace.
Hijack and Wipe
Kamluk ha dimostrato una prova di concetto al vertice che mostra come un attaccante potrebbe lanciare un attacco man-in-the-middle contro una macchina in cui è stato installato Computrace. L'aggressore potrebbe fingere di essere un server di Absolute Software e di cambiare memoria nella macchina della vittima.
"Chiunque abbia il potere di controllare la tua connessione Internet potrebbe fare lo stesso, ad esempio un governo o un ISP", ha detto Kamluk.
Kaspersky Lab afferma di non avere prove che Absolute Computrace sia stato finora utilizzato negli attacchi. Absolute Software deve utilizzare l'autenticazione e la crittografia per proteggere Computrace in modo che non possa essere abusato, Kamluk ha detto.
Durante la presentazione di Kamluk, è stato possibile vedere diversi partecipanti controllare il proprio BIOS per vedere se Computrace era presente sui loro computer. Alla fine della presentazione, la tensione nella stanza era quasi palpabile, poiché molti dei partecipanti hanno capito quanto fosse diffusa Computrace e che non erano nemmeno consapevoli della sua presenza sulle loro macchine. Inoltre, disturbava il numero di quelli abilitati per impostazione predefinita.
