Vidéo: 3 ERREURS à éviter pour les ATTAQUANTS ! (Novembre 2024)
Selon un chercheur de Kaspersky Lab, les pirates informatiques peuvent utiliser un logiciel antivol populaire installé sur les ordinateurs portables de presque tous les principaux fabricants d’ordinateurs.
Absolute Software affirme que son produit Computrace aide les organisations à suivre et à sécuriser leurs terminaux. En ce qui concerne Kaspersky Lab, cet outil peut être utilisé par des attaquants pour surveiller et contrôler à distance ces machines, voire même pour effacer toutes les informations de l'ordinateur.
"Il est clair que s'il existe de nombreux ordinateurs sur lesquels des agents Computrace sont en cours d'exécution, il incombe au fabricant d'avertir les utilisateurs et d'expliquer comment le logiciel peut être désactivé et désactivé", a déclaré Vitaly Kamluk, chercheur principal en sécurité chez Kasperksy Lab.
Kamluk a déclaré aux participants au Sommet des analystes de la sécurité de Kaspersky Lab de la semaine dernière qu'il était surpris de trouver Computrace sur son ordinateur portable à la maison alors qu'il n'avait jamais rien acheté ou installé à Absolute Software. Il n’est pas le seul, d’autres utilisateurs d’informations en ligne affirment «qu’ils les ont trouvés sur leurs machines et qu’ils n’avaient jamais acheté Absolute», a-t-il déclaré.
Computrace Inside
Computrace semble être préinstallé sur une douzaine de grands fabricants d’ordinateurs portables, notamment Samsung, Acer, Lenovo, Hewlett-Packard, Dell, Panasonic, Toshiba, Asus, Gateway, General Dynamics, Fujitsu et Gamatech. Comme il est conçu pour être utilisé comme un outil antivol, il est répertorié par les principaux éditeurs de logiciels antivirus de sorte que la plupart des utilisateurs n’ont aucune idée du fait que le logiciel se trouve sur leur ordinateur. "Toutes les entreprises le voient comme un produit légitime", a déclaré Anibal Sacco, cofondateur et chercheur à Cubica Labs, qui avait analysé Computrace pour la première fois en 2009 alors qu'il était chez Core Security Technologies.
L'agent réside dans le micrologiciel, le système d'exploitation que vous utilisez ou le type de protection de sécurité que vous possédez n'a donc pas d'importance. Il est intégré au matériel et est difficile à retirer. La plupart des logiciels pré-installés peuvent être définitivement supprimés ou désactivés par l'utilisateur, mais Computrace est conçu pour résister au nettoyage professionnel du système et même au remplacement du disque dur.
Selon les statistiques fournies par le réseau de sécurité de Kaspersky, environ 150 000 utilisateurs de l'agent Computrace s'exécutent sur leurs ordinateurs, ce qui signifie que le nombre d'utilisateurs dans le monde avec Computrace actif peut dépasser 2 millions. La majorité de ces ordinateurs sont situés aux États-Unis et en Russie, a déclaré Kaspersky Lab.
Comportement problématique
Bien que Computrace soit un logiciel commercial conçu pour fonctionner correctement, il emploie bon nombre des mêmes astuces que les logiciels malveillants, notamment l’utilisation de techniques d’anti-débogage et d’anti-reverse engineering, l’injection de mémoire dans d’autres processus et le cryptage de fichiers de configuration. Sacco a décrit l'outil comme une "boîte à outils latente" et a indiqué que l'agent Windows n'avait aucune authentification. Computrace communique avec les serveurs d’Absolute Software via un canal non chiffré et stocke les informations non chiffrées. Le protocole de réseau peut être utilisé pour l'exécution de code à distance et est vulnérable aux abus, a prévenu Sacco.
Kaspersky Lab a déclaré que le cryptage semble être ajouté au protocole réseau à un stade ultérieur des communications, mais que les pirates peuvent toujours tirer parti des composants non cryptés pour pirater le système à distance. Kamluk a déclaré que Computrace pourrait être utilisé pour installer des logiciels espions sur les ordinateurs d'extrémité, rediriger tout le trafic depuis un ordinateur exécutant Small Agent vers l'hôte de l'attaquant via ARP-empoisonnement, et lancer une attaque de service DNS pour inciter l'agent à se connecter à un faux serveur C & C nommer quelques-uns.
"Cela pose un gros problème", a déclaré Sacco aux participants.
Pas de problème ici?
Phil Gardner, CTO d’Absolute Software, a critiqué la recherche sur Kaspersky comme étant "imparfaite" et a déclaré qu’elle avait un "mérite technique douteux". Absolute Software a déclaré que Computrace utilise le cryptage et l’authentification sur le serveur, ce qui empêcherait les types d’attaques contre lesquelles Kamluk a été prévenu. L'agent ne communiquera avec un serveur que s'il est autorisé, et "ne communiquera qu'avec l'authentification mutuelle du serveur et du client", a déclaré Gardner.
Avant qu'un attaquant puisse utiliser Computrace à des fins malveillantes, le système d'extrémité doit être compromis. "Les obstacles à une telle attaque sont considérables et ne peuvent pas être atteints via le mécanisme décrit dans le rapport Kaspersky", a déclaré Absolute Software dans une FAQ.
Néanmoins, si vous n'aimez pas l'idée de quelque chose qui tourne sur votre ordinateur et que vous ne connaissez pas, vous pouvez suivre les instructions de Kaspersky Lab pour rechercher et désactiver Computrace.
Détourner et essuyer
Kamluk a présenté au sommet une preuve de concept montrant comment un attaquant pouvait lancer une attaque de type "man-in-the-middle" contre une machine sur laquelle Computrace était installé. L’attaquant pourrait se faire passer pour un serveur d’Absolute Software et modifier la mémoire de la machine de la victime.
"N'importe qui avec le pouvoir de contrôler votre connexion Internet pourrait faire la même chose, un gouvernement ou un FAI, par exemple", a déclaré Kamluk.
Kaspersky Lab indique qu'il n'a aucune preuve que Absolute Computrace ait été utilisé dans des attaques à ce jour. Absolute Software doit utiliser l'authentification et le cryptage pour sécuriser Computrace afin d'éviter toute utilisation abusive, a déclaré Kamluk.
Lors de la présentation de Kamluk, plusieurs participants ont pu consulter leur BIOS pour vérifier si Computrace était présent sur leurs ordinateurs. À la fin de la présentation, la tension dans la salle était presque palpable, de nombreux participants ayant réalisé à quel point Computrace était répandu et qu’ils ne se rendaient même pas compte de sa présence sur leurs machines. Il était également inquiétant de constater combien d’entre eux étaient activés par défaut.
