Большинство компьютерных устройств идет с противоугонным решением под названием Computrace, позволенный по умолчанию, способный, чтобы выполнить произвольный код с местными системными привилегиями, который не шифрует связь с удаленным сервером.

В представлении на конференции по безопасности Черной шляпы в Лас-Вегасе на прошлой неделе, эксперты по безопасности Kaspersky Виталий Камлук и Сергей Белов, вместе с Анибалом Сакко от Cubica Labs, продемонстрировали, как законное программное обеспечение Computrace, которое является частью встроенного микропрограммного обеспечения BIOS, может использоваться в качестве “продвинутого стойкого к удалению основанного на BIOS черного хода”.

У программного обеспечения, разработанного Absolute Software и включенного в BIOS ROM Вариантов PCI и встроенное микропрограммное обеспечение UEFI, есть удаленные возможности выполнения кода дизайном, и его цель состоит в том, чтобы предложить владельцам компьютеров возможность отдаленного управления устройствами.

Однако, потому что это не шифрует связь с сервером, это может быть угнано, если нападавший берет под контроль сетевой трафик (человек в среднем нападении) затронутого компьютера.

Computrace пробегает двух агентов, идентифицированных как «rpcnetp.exe» (Мелкий Агент) и «rpcnet.exe» (Главный Агент), и поскольку исследователи Kaspersky обнаружили, на некоторых системах это позволено по умолчанию, делая машину восприимчивой к компромиссу.

Виталий Камлук говорит, что они не полагают, что злонамеренная причина находится позади компонента, являющегося активным без пользовательского согласия. Вместо этого они думают, что производителям включили его неумышленно.

Но независимо от причины компонент представляет риск для пользователей, на машинах которых это позволено.

Исследователи нашли, что два типа удаленных нападений могут быть проведены против Абсолютного Computrace, одного направленного в Маленьком модуле Агента и другого в Главном Агенте.

“Важно отметить, что Мелкий Агент управляет на ограниченный срок стартом с начальной установки модуля и окончания, когда система связана с Интернетом, и модуль успешно обновлен”, говорят эксперты в отчете, детализирующем недостаток.

Во втором типе нападения Главный Агент заставлен заменить Маленькое Вещество.

В начале коммуникации никакое шифрование не доступно для протокола, но кажется, что это добавлено на более позднем этапе. Однако киберпреступники открыты окно, чтобы использовать в своих интересах незашифрованный протокол, чтобы взять под контроль систему.

Поскольку программное обеспечение не злонамеренное и разработано предприятием, которому доверяют, у большинства антивирусных продуктов есть добавленный в белый список.

Первое затруднение было обнаружено в начале года и сообщило о Absolute Software в то время, но согласно слайдам представления от конференции, не имело никакой реакции.

Вторая отдаленная уязвимость выполнения кода, сообщил 25 июня, произвел ответ от компании, которая отрицала ее существование.

Присутствие Computrace показано исполняемыми файлами этих двух агентов в списке процессов, а также связью с определенными хозяевами. Выведение из строя его, однако, более трудное, потому что это - продавец определенный процесс, и разработчик полезности BIOS Setup решает, включать ли возможность включить или выключить модуль Computrace.