Máquinas con Computrace LoJack for Laptops presentan seria vulnerabilidad

3 Ago 2009 en Seguridad

Se trata del servicio Computrace LoJack for Laptops que viene precargado en notebooks de HP, Dell, Lenovo, Toshiba, Acer/Gateway, Asus y Panasonic. El software tiene vulnerabilidades de diseño y carece de una autenticación sólida, lo cual puede conducir a un compromiso completo y persistente del sistema afectado. Así lo explicaron los investigadores Alfredo Ortega y Aníbal Sacco de Core Security Technologies.
Computrace LoJack for Laptops viene preinstalado en el 60% de las nuevas laptops y es un agente de software que reside en la BIOS
para llamar periódicamente a una autoridad central pidiendo instrucciones en caso de que se robe la laptop. Ese dispositivo call-home permite que la autoridad instruya al agente de la BIOS para que limpie todo el contenido de la máquina preventivamente o bien para que explore el sistema.
Ortega y Sacco explican que para ser un servicio de esta clase sea efectivo, debe tener control total y persistencia en el sistema para superar el eventual borrado del disco y una reinstalación de sistema operativo.
Es un rootkit legítimo, pero igualmente peligroso, nos dice Sacco. Estos investigadores ya demostraron métodos de infección de BIOS con código persistente que sobrevive a rebooteos y refrescados de memoria.
Un atacante podría manipular el proceso call-home porque utiliza un método de configuración que contiene la dirección IP, puerto y URL, todo codificado en Option-ROM. De esa manera, resulta sencillo buscar y modificar la configuración para que apunte a un sitio malicioso donde cargará elementos no autenticados en la laptop.
Como este rootkit no está en la lista negra de los antivirus, las modificaciones maliciosas no serán detectadas. La modificación de la configuración admite formas de rootkits muy persistentes y peligrosas.
Core Security ha reportado estos problema a Absolute Corp., la compañía que desarrolló Computrace.