Researchers find insecure BIOS 'rootkit' preloaded in laptops
July 30th, 2009
Posted by Ryan Naraine @ 1:18 pm
Theo: http://blogs.zdnet.com/security/?p=3828
Bài được đưa lên Internet ngày: 30/07/2009
Lời người dịch: “Computrace LoJack for Laptops, mà nó được cài đặt sẵn trên khoảng 60% tất cả các máy tính xách tay mới, là một phần mềm đại lý mà nó sống trong BIOS và thường xuyên gọi về nhà tới một cơ quan có thẩm quyền trung tâm để nhận các mệnh lệnh trong trường hợp một máy tính xách tay bị ăn cắp. Cơ chế gọi về nhà này cho phép cơ quan có thẩm quyền trung ương này ra lệnh cho đại lý BIOS này quét sạch tất cả các thông tin như một cách thức an ninh, hoặc giám sát nơi chốn của hệ thống”. Có thể phần mềm này là một con dao 2 lưỡi cho những quốc gia nào không có khả năng sản xuất chip và máy tính. Có thể vì lẽ đó mà các cường quốc như Trung Quốc và Ấn Độ lại phải sản xuất chip riêng cho mình chăng?.
Las Vegas – Một dịch vụ phổ biến về khôi phục các máy tính xách tay bị đánh cắp mà xuất xưởng các máy tính xách tay được làm bởi HP, Dell, Lenovo, Toshiba, Gateway, Asus và Panasonic là bộ công cụ gốc (rootkit) của BIOS nguy hiểm mà có thể bị thâm nhập và bị kiểm soát bởi các tin tặc ác độc.
Dịch vụ này – được gọi là Computrace LoJack for Laptops (Giám sát máy tính LoJack cho các máy tính xách tay) – chứa những chỗ dễ bị tổn thương về thiết kế và thiếu sự xác thực mạnh mà có thể dẫn tới “một sự tổn thương hoàn toàn và vĩnh viễn của một hệ thống bị lây nhiễm”, theo bài trình bày tại hội nghị Mũ Đen (Black Hat) của các nhà nghiên cứu Alfredo Ortega và Anibal Sacco của Core Security Technologies.
Ảnh: các nhà nghiên cứu Alfredo Ortega và Anibal Sacco.
Computrace LoJack for Laptops, mà nó được cài đặt sẵn trên khoảng 60% tất cả các máy tính xách tay mới, là một phần mềm đại lý mà nó sống trong BIOS và thường xuyên gọi về nhà tới một cơ quan có thẩm quyền trung tâm để nhận các mệnh lệnh trong trường hợp một máy tính xách tay bị ăn cắp. Cơ chế gọi về nhà này cho phép cơ quan có thẩm quyền trung ương này ra lệnh cho đại lý BIOS này quét sạch tất cả các thông tin như một cách thức an ninh, hoặc giám sát nơi chốn của hệ thống.
Để nó trở thành một dịch vụ khôi phục có hiệu quả khi bị ăn cắp, Ortega và Sacco đã giải thích rằng nó phải là lén lút, phải có sự kiểm soát hệ thống hoàn toàn và phải có độ bền bỉ cao để sống sót với sự quét sạch của ổ cứng hoặc cài đặt lại hệ điều hành.
“Đây là một bộ công cụ gốc. Nó có thể là bộ công cụ gốc hợp pháp, nhưng nó còn là một bộ công cụ gốc nguy hiểm”, Sacco tuyên bố. Đội nghiên cứu tình cờ gặp công nghệ như bộ công cụ gốc này trong khoá học về công việc của họ về các cuộc tấn công ác độc dựa vào BIOS. Tại hội nghị an ninh CanSecWest năm ngoái, 2 nhà nghiên cứu này trình bày các phương pháp cho việc lây nhiễm BIOS với mã nguồn dai dẳng mà chúng sống qua được các lần khởi động lại và những mưu toan định dạng lại đĩa cứng.
[Xem: Các nhà nghiên cứu biểu diễn cuộc tấn công BIOS mà sống sót với việc quét sạch đĩa cứng]
LAS VEGAS — A popular laptop theft-recovery service that ships on notebooks made by HP, Dell, Lenovo, Toshiba, Gateway, Asus and Panasonic is actually a dangerous BIOS rootkit that can be hijacked and controlled by malicious hackers.
The service — called Computrace LoJack for Laptops — contains design vulnerabilities and a lack of strong authentication that can lead to “a complete and persistent compromise of an affected system,” according to Black Hat conference presentation by researchers Alfredo Ortega and Anibal Sacco from Core Security Technologies.
Computrace LoJack for Laptops, which is is pre-installed on about 60 percent of all new laptops, is a software agent that lives in the BIOS and periodically calls home to a central authority for instructions in case a laptop is stolen. The call-home mechanism allows the central authority to instruct the BIOS agent to wipe all information as a security measure, or to track the whereabouts of
the system.
For it to be an effective theft-recover service, Ortega and Sacco explained that it has to be stealthy, must have complete control of the system and must be highly-persistent to survive a hard disk wipe or operating system reinstall.
“This is a rootkit. It might be legitimate rootkit, but it’s a dangerous rootkit,” Sacco declared. The research team stumbled upon the rootkit-like technology in the course of their work on BIOS-based malware attacks. At last year’s CanSecWest security conference, the duo demonstrate methods for infecting the BIOS with persistent code that survive reboots and reflashing attempts.
[ SEE: Researchers demo BIOS attack that survives hard-disk wipe ]
Vấn đề lớn nhất, Ortega đã giải thích, là việc một kẻ tấn công độc ác có thể kiểm soát và điều khiển được quá trình gọi về nhà. Đó là vì công nghệ này sử dụng một phương pháp thiết lập cấu hình mà nó chứa địa chỉ IP, cổng và URL, tất cả được lập trình cứng vào trong bộ nhớ chỉ đọc được lựa chọn (Option – ROM). Lúc đầu, Sacco đã giải thích rằng phương pháp thiết lập cấu hình này được sao chép tại nhiều vị trí, bao gồm cả không gian đăng ký và phân vùng bên trong đĩa cứng.
Hai nhà nghiên cứu này đã tìm thấy rẳng không quan trọng để tìm kiếm và sửa đổi thiết lập cấu hình này, trao cho họ khả năng chỉ ra IP và URL tới một site độc hại, nơi mà việc trả tiền không có xác thực có thể được định hướng tới máy tính xách tay.
Vì bộ công cụ gốc này là được liệt kê bởi phần mềm chống virus, nên những sửa đổi độc hại sẽ đi mà không được thông báo gì. Về các BIOS không được ký, Sacco và Ortega giúp sửa đổi cấu hình cho phép một dạng rất bền bỉ và nguy hiểm của bộ công cụ gốc.
Cả 2 đã khuyến cáo một sơ đồ ký điện tử đẻ xác thực quá trình gọi về nhà này.
Với sự giúp đỡ của Độ Phản ứng Cứu hộ máy tính Mỹ (US-CERT) và một nhà sản xuất máy tính xách tay chủ chốt, Core Security đã báo cáo các vấn đề này cho hãng Absolute Corp, hãng mà làm ra phần mềm theo dõi máy tính Computrace.
The biggest problem, Ortega explained, is that a malicious hacker can manipulate and control the call-home process. That’s because the technology uses a configuration method that contains the IP address, port and URL, all hard-coded in the Option-ROM. At first run, Sacco explained that the configuration method is copied in many places, including the registry and hard-disk inter-partition space.
The duo found that it’s trivial to search and modify the configuration, giving them the ability to point the the IP and URL to a malicious site, where un-authenticated payloads can be directed to laptop.
Because the rootkit is white-listed by anti-virus software, the malicious modifications will go unnoticed. On unsigned BIOSes, Sacco and Ortega aid modification of the configuration allows for a very persistent and dangerous form of rootkit.
The pair recommended a digital signature scheme to authenticate the call-home process.
With the help of the U.S. Computer Emergency Response Team (US-CERT) and one major laptop manufacturer, Core Security has reported the problems to Absolute Corp., the company that makes the Computrace software.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.