El Equipo de Investigación de Kaspersky Lab ha publicado un informe que confirma – y demuestra- que la pobre aplicación del software antirrobo comercializado por Absolute Software puede convertir una utilidad defensiva útil en una gran herramienta para los cibercriminales.
De manera sigilosa, esta pobre ejecución da a los atacantes acceso completo a millones de computadoras de usuarios. El enfoque de la investigación fue el agente Absolute Computrace que reside en el firmware o ROM PC BIOS, de las computadoras de escritorio y computadoras portátiles modernas.
La razón principal de este proyecto de investigación fue el descubrimiento del agente Computrace que estaba activo en varios equipos privados y computadoras corporativas de varios investigadores de Kaspersky Lab sin autorización previa. Mientras Computrace es un producto legítimo desarrollado por Absolute Software, algunos propietarios de los equipos afirmaron que nunca habían instalado, activado o tenían conocimiento de que este software estaba en sus máquinas. La mayoría de los paquetes de software pre-instalados tradicionales se pueden eliminar de forma permanente o pueden ser desactivados por el usuario; Sin embargo Computrace está diseñado para sobrevivir una limpieza de sistema profesional e incluso el reemplazo del disco duro.
Un usuario puede erróneamente identificar a Computrace como un software malicioso, ya que utiliza varios trucos populares del malware moderno: anti – depuración y técnicas de ingeniería anti- reversa, la inyección de otros procesos en la memoria, el establecimiento de comunicaciones secretas, el parche de archivos del sistema en el disco, mantener la configuración de archivos encriptados, y dejar caer un derecho ejecutable de Windows desde el BIOS / firmware.
«Protagonistas con la capacidad de vulnerar la fibra óptica potencialmente pueden secuestrar los equipos que ejecutan Absolute Computrace. Este software puede ser utilizado para instalar implantes de spyware», advierte Vitaly Kamluk, Investigador Principal de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab. «Nuestra estimación es que millones de computadoras están ejecutando el software Absolute Computrace y un gran número de usuarios podrían no estar al tanto de que este software está activo y en funcionamiento en sus máquinas. ¿Quién tenía causa o derecho para activar Computrace en todas estas computadoras? ¿Están siendo monitoreados por un actor desconocido? Ese es un misterio que hay que resolver”.
Estadísticas:
• De acuerdo con el Kaspersky Security Network (KSN), hay aproximadamente 150 mil usuarios que tienen el agente Computrace activo en sus máquinas. El número total de usuarios estimados con el agente de Computrace activo puede superar los 2 millones. No está claro cuántos de esos usuarios está al tanto de que Computrace está activo en sus sistemas
• La mayoría de estos equipos se encuentran en los Estados Unidos y Rusia.
Fallas de seguridad
El protocolo de red utilizado por el Computrace Small Agent ofrece funciones básicas para la ejecución remota de código. El protocolo no requiere el uso de ningún tipo de cifrado o la autenticación del servidor remoto, lo que crea muchas oportunidades para ataques remotos en un entorno de red hostil.
Una plataforma de ataque
No hay ninguna prueba de que Absolute Computrace esté siendo utilizado como una plataforma para ataques. Sin embargo, expertos de varias empresas ven la posibilidad de ataques: algunos hechos alarmantes y no explicados de activaciones no autorizadas de Computrace hacen la posibilidad de ataques más y más real
En el 2009, investigadores de Core Security Technologies presentaron sus conclusiones sobre Absolute Computrace. Los investigadores advirtieron sobre los peligros de esta tecnología y cómo un atacante podría modificar el registro del sistema para apropiarse de las devoluciones de llamada de Computrace. El comportamiento agresivo del agente Computrace fue una de las razones por la que fue detectado como malware en el pasado. Según algunos informes, Computrace fue detectado por Microsoft como VirTool: Win32/BeeInject. Sin embargo, la detección fue retirada más tarde por Microsoft y algunos proveedores de anti -malware. Ejecutables de Computrace están actualmente en la lista blanca de la mayoría de las compañías anti-malware.
«Herramientas de gran alcance, tales como el software Absolute Computrace, deben utilizar mecanismos de autenticación y cifrado para continuar sirviendo a un bien mayor. Está claro que hay una gran cantidad de computadoras con agentes activos de Computrace, y es la responsabilidad del fabricante (en este caso Absolute Software) notificar a los usuarios y explicar cómo el software puede ser desactivado o eliminado», dijo Kamluk. «De lo contrario, estos agentes huérfanos seguirán activos inadvertidamente ofreciendo la posibilidad de una explotación remota”.