Video: Controlar otro PC desde mi computadora | Acceso remoto por Internet | El mas rápido y seguro (Noviembre 2024)
Según un investigador de Kaspersky Lab, los atacantes pueden usar un popular software antirrobo instalado en computadoras portátiles de casi todos los principales fabricantes de computadoras para secuestrar computadoras.
Absolute Software afirma que su producto Computrace ayuda a las organizaciones a rastrear y asegurar sus puntos finales. En lo que respecta a Kaspersky Lab, los atacantes pueden usar la herramienta para monitorear y controlar estas máquinas de forma remota e incluso borrar toda la información de la computadora.
"Está claro que si hay muchas computadoras con agentes Computrace en funcionamiento, es responsabilidad del fabricante notificar a los usuarios y explicar cómo se puede desactivar y desactivar el software", dijo Vitaly Kamluk, investigador principal de seguridad de Kasperksy Lab.
Kamluk dijo a los asistentes a la Cumbre de analistas de seguridad de Kaspersky Lab la semana pasada que estaba sorprendido de encontrar a Computrace en la computadora portátil de su hogar a pesar de nunca haber comprado o instalado nada de Absolute Software. No es el único, ya que hay otros informes de usuarios en línea "que afirman que los encontraron en sus máquinas y que nunca habían comprado Absolute", dijo.
Computrace Inside
Computrace parece venir preinstalado en una docena de los principales fabricantes de computadoras portátiles, incluidos Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu y Gamatech. Dado que está destinado a ser utilizado como una herramienta antirrobo, los principales proveedores de antivirus lo incluyen en la lista blanca, por lo que la mayoría de los usuarios nunca tienen idea de que el software está en sus máquinas. "Todas las compañías lo ven como un producto legítimo", dijo Anibal Sacco, cofundador e investigador de Cubica Labs, quien analizó por primera vez Computrace en 2009 mientras estaba en Core Security Technologies.
El agente reside en el firmware, por lo que no importa qué sistema operativo esté ejecutando o qué tipo de protecciones de seguridad tenga. Está incrustado directamente en el hardware y es difícil de eliminar. El usuario puede eliminar o deshabilitar permanentemente la mayoría del software preinstalado, pero Computrace está diseñado para sobrevivir a la limpieza profesional del sistema e incluso al reemplazo del disco duro.
Según las estadísticas proporcionadas por Kaspersky's Security Network, hay aproximadamente 150, 000 usuarios que tienen el agente Computrace ejecutándose en sus máquinas, lo que significa que el número de usuarios en todo el mundo con Computrace activo puede superar los 2 millones. La mayoría de estas computadoras están ubicadas en Estados Unidos y Rusia, dijo Kaspersky Lab.
Comportamiento problemático
Si bien Computrace es un software comercial diseñado para hacer el bien, emplea muchos de los mismos trucos que el malware, incluido el uso de técnicas de ingeniería anti-depuración y anti-reversa, inyectando memoria en otros procesos y encriptando archivos de configuración. Sacco describió la herramienta como un "juego de herramientas latente" y señaló que el agente de Windows no tiene autenticación de ningún tipo. Computrace se comunica con los servidores de Absolute Software a través de un canal sin encriptar y almacena la información sin encriptar. El protocolo de red se puede usar para la ejecución remota de código y es vulnerable al abuso, advirtió Sacco.
Kaspersky Lab dijo que el cifrado parece agregarse al protocolo de red en una etapa posterior de las comunicaciones, pero que los atacantes aún pueden aprovechar los componentes no cifrados para secuestrar el sistema de forma remota. Kamluk dijo que Computrace podría usarse para instalar spyware en los puntos finales, redirigir todo el tráfico desde una computadora que ejecuta Small Agent al host del atacante a través del envenenamiento por ARP, y lanzar un ataque de servicio DNS para engañar al agente para que se conecte a un servidor falso de C&C, para nombrar unos pocos.
"Hay un gran problema con esto", dijo Sacco a los asistentes.
No hay problema aquí?
El CTO de Absolute Software, Phil Gardner, criticó la investigación de Kaspersky como "defectuosa" y dijo que tenía "mérito técnico cuestionable". Absolute Software dijo que Computrace utiliza cifrado y autenticación para el servidor, lo que evitaría los tipos de ataques sobre los que advirtió Kamluk. El agente no se comunicará con un servidor a menos que esté autorizado, y "solo se comunicará con la autenticación mutua del servidor y el cliente", dijo Gardner.
Antes de que un atacante pueda usar Computrace maliciosamente, el punto final debe estar comprometido. "Los obstáculos para montar un ataque de este tipo son considerables y no se pueden lograr a través del mecanismo descrito en el informe de Kaspersky", dijo Absolute Software en una pregunta frecuente.
Aun así, si no le gusta la idea de que algo se ejecute en su computadora que no conoce, puede seguir las instrucciones de Kaspersky Lab para encontrar y deshabilitar Computrace.
Secuestro y limpieza
Kamluk demostró una prueba de concepto en la cumbre que muestra cómo un atacante podría lanzar un ataque de hombre en el medio contra una máquina en la que se instaló Computrace. El atacante podría pretender ser un servidor de Absolute Software y cambiar la memoria en la máquina de la víctima.
"Cualquier persona con el poder de controlar su conexión a Internet podría hacer lo mismo, un gobierno o un ISP, por ejemplo", dijo Kamluk.
Kaspersky Lab dice que no tiene pruebas de que Absolute Computrace se haya utilizado en ataques hasta la fecha. Kamluk dijo que Absolute Software necesita usar autenticación y encriptación para asegurar Computrace para que no se pueda abusar de él.
Durante la presentación de Kamluk, se pudo ver a varios asistentes revisando su BIOS para ver si Computrace estaba presente en sus computadoras. Al final de la presentación, la tensión en la sala era casi palpable, ya que muchos de los asistentes se dieron cuenta de cuán extendida era Computrace y de que ni siquiera se daban cuenta de su presencia en sus máquinas. También era inquietante cuántos de ellos estaban habilitados por defecto.
