El equipo de investigación de seguridad de Kaspersky Lab ha publicado un informe que confirma que la aplicación de software antirrobo comercializado por Absolute Software puede convertir una utilidad defensiva en una gran utilidad para ciberhackers. Este software tiene una vulnerabilidad que permitiría a un atacante acceso completo a millones de ordenadores de los usuarios. El enfoque de la investigación fue el agente Absolute Computrace que reside en el firmware o PC ROM BIOS, de los ordenadores portátiles modernos y de sobremesa.
El origen de este proyecto de investigación fue el descubrimiento de que el agente Computrace corría sin autorización previa en varios equipos privados de los analistas de Kaspersky Lab, así como en los ordenadores corporativos. Computrace es un producto original desarrollado por Absolute Software y, a pesar de tener un componente en la BIOS, no se debería activar a no ser que el propietario contrate e instale el agente de Computrace. Algunos propietarios de los sistemas afirmaron que nunca lo habían instalado y a pesar de ello descubrieron que se encontraba activo.
La mayoría de los paquetes de software preinstalados en los equipos se pueden eliminar de forma permanente o desactivar. Sin embargo, Computrace está diseñado para sobrevivir a esa limpieza del sistema incluso si se sustituye el disco duro al estar en la BIOS.
El usuario puede reconocer erróneamente Computrace como software malicioso, ya que utiliza muchos trucos anti-depuración y técnicas anti ingeniería inversa, como la inyección en la memoria de otros procesos, el establecimiento de comunicaciones secretas, parchear los archivos del sistema en disco, mantienen su configuración cifrada o ejecutar un binario en Windows directamente desde la BIOS/firmware.
“Existen actores con capacidad para acceder directamente a las redes de datos y que pueden secuestrar los equipos que ejecutan Absolute Computrace. Se puede manipular la comunicación de este software para que instale un spyware en el equipo víctima”, advierte Vitaly Kamluk, principal analista de Seguridad del GREAT de Kaspersky Lab. “Estimamos que millones de ordenadores tienen instalado por defecto el software Absolute Computrace y un gran número de usuarios podrían no ser conscientes de que está activo y en funcionamiento. ¿Quién tenía un motivo para activar Computrace en todos los ordenadores afectados? ¿Están siendo monitorizados por algún actor desconocido? Ese es un misterio que hay que resolver”.
Estadísticas
– El número estimado de usuarios con este agente activo puede superar los dos millones. No está claro cuántos de esos usuarios son conscientes de tener Computrace instalado en sus sistemas. Según Kaspersky Security Network, hay 150.000 usuarios con un agente de Computrace instalado en sus equipos.
– La mayoría de estos ordenadores están ubicados en Estados Unidos y Rusia.
Fallos de seguridad
El protocolo de red utilizado por Computrace Small Agent proporciona funcionalidades básicas para ejecutar código de forma remota. El protocolo no requiere el uso de cifrado ni autentificación del servidor remoto, lo que ofrece muchas posibilidades para que se produzcan ataques remotos en un entorno de red hostil.
Una plataforma de ataque
No hay ninguna prueba que indique que se esté utilizando Absolute Computrace como una plataforma de ataque. En cualquier caso, expertos de varias compañías ven una posibilidad de ataque; algunas activaciones sin autorización de Computrance hacen que esta teoría cobre cada vez más peso.
En 2009, investigadores de Core Security Technologies presentaron sus descubrimientos en Absolute Computrace. Ya por entonces, los investigadores alertaron sobre los peligros de esta tecnología y cómo un cibercriminal podría modificar el registro para hackear las comunicaciones con sus servidores. Anteriormente fue detectado como malware con motivo de un comportamiento agresivo del Computrace Agent.
Según varios informes, Computrance fue detectado por Microsoft como VirTool:Win32/BeeInject, aunque esta detección fue eliminada posteriormente por Microsoft y otros fabricantes de antivirus y en la actualidad, los ejecutables de Computrace están categorizados en lista blanca por la mayoría de la compañías de antimalware.
“Una herramienta tan potente como el software Absolute Computrance debe utilizar mecanismos de autentificación y cifrado para continuar dando un servicio de alta calidad. Está claro que si hay un gran número de ordenadores con agentes de Computrance en activo, es responsabilidad del fabricante (en este caso Absolute Software) notificar a los usuarios y explicarles cómo pueden desactivar y desinstalar el software”, explica Kamluk. “Si no, los agentes huérfanos continuarán funcionando dando opción a que se produzca una explotación en remoto”.
