«Лабораторія Касперського» знайшла загрозу в BIOS сучасних ПК і ноутбуків
«Лабораторія Касперського» знайшла загрозу в BIOS сучасних ПК і ноутбуків
«Лабораторія Касперського» виявила, що недосконала реалізація мережевого протоколу, використовуваного продуктом Absolute Computrace компанії Absolute Software, може стати свого роду «архімедовим важелем» і перетворити корисне ПО в потужне знаряддя зловмисників. Цей програмний недолік здатний потенційно відкрити кіберзлочинцям доступ до мільйонів комп'ютерів по всьому світу - і в якості ключа в цьому випадку виступить програмний агент Absolute Computrace, що зберігається в прошивці BIOS сучасних комп'ютерів і ноутбуків.
Постійний модуль Computrace знаходиться в додатковому BIOS ROM Постійний модуль Computrace знаходиться в додатковому BIOS ROM
Аналізувати цю особливість захисного ПЗ Absolute Software фахівці «Лабораторії Касперського» почали після того, як з'ясували, що програмний агент Absolute Computrace працює на ряді комп'ютерів без попередньої авторизації. Незважаючи на те що цей продукт є легальною розробкою, деякі користувачі стверджували, що ніколи його не встановлювали і не активували, а в ряді випадків і зовсім не знали про існування цього ПЗ на своїх комп'ютерах. У той час як більшість встановлених програм може бути легко видалено або деактивовано користувачем, Absolute Computrace, розташовуючись в прошивці комп'ютера, продовжує працювати навіть після ретельного чищення системи або заміни диска.
Однак не тільки ця особливість Absolute Computrace може викликати підозру у користувачів. Це ПО застосовує технології, що утрудняють дизасемблювання і аналіз, а також інші інструменти, популярні у творців зловредів, зокрема ін'єкції в пам'ять інших процесів, організацію прихованих каналів зв'язку, зміна системних файлів на диску, шифрування конфігураційних даних і створення виконуваних файлів Windows безпосередньо з коду прошивки BIOS.
Згідно з даними, отриманими з хмарного сервісу Kaspersky Security Network, програмний агент Absolute Computrace функціонує сьогодні в системах близько 150 тисяч користувачів. Загальне ж число користувачів з активованим агентом за деякими оцінками може перевищувати 2 мільйони, і не відомо, скільки з них знають про існування цього ПЗ на своєму комп'ютері. Також експерти встановили, що більшість комп'ютерів з активно працюючим агентом Absolute Computrace знаходиться в США та Росії.
Мережевий протокол Computrace, надає базові можливості для віддаленого виконання коду. Він не вимагає використання будь-яких криптографічних механізмів для шифрування даних або перевірки віддаленого сервера, що дає зловмисникам можливість для вчинення віддалених атак в незахищеному мережевому оточенні. В даний час немає доказів того, що Absolute Computrace використовується як платформа для проведення атак. «Лабораторія Касперського» знайшла загрозу в BIOS сучасних ПК і ноутбуків Комп`ютерні технології it новини.




Схожі новини: