Laptops von Asus, Dell, HP, Lenovo oder Toshiba betroffen:
Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute
Eigentlich ist der Diebstahlschutz »Computrace LoJack« von Absolute Software für Laptops eine gute Sache. Aber er lässt sich als Rootkit missbrauchen, wie ein Vortrag auf Blackhat-Konferenz zeigt. Das Problem ist der Agent, der sich über das Bios installiert.
Laptops gehen schnell verloren in Taxis, Restaurant, Hotels oder Flughäfen. Aus diesem Grund ist eine Lösung wie »Computrace LoJack [1]« von Absolute Software [2] eine interessante Sache. Der im Bios installierte Agent liefert nach einer Diebstahlmeldung in kurzen Abständen Informationen an Absolute, die helfen sollen, den Laptop zu finden. Doch die Lösung erweist sich nicht nur als gefährlich für die Diebe, sondern auch den Besitzer, wie ein Vortrag [3] von Anibal Sacco und Alfredo A. Ortega auf Blackhat-Konferenz zeigt: Die Software lässt sich leicht für andere Zwecke missbrauchen. Die Referenten kamen auf das Problem, als sie testweise selbst ein Rootkit im Bios installieren wollten.
Der »Computrace LoJack«-Agent von Absolute Software modifiziert beim Booten direkt das Datei-System, um sich zu installieren. (Quelle: Anibal Sacco und Alfredo A. Ortega)
Der Agent installiert sich selbst als Service beim Booten des Betriebssystems. Sobald dieser läuft, baut er ähnlich wie bei RPC (Remote-Procedure-Call) über Http eine Verbindung mit einem Server auf. Eine Authentifizierung findet aber nicht statt. Außerdem kann jeder mit genügend Rechten den Agenten aktivieren und die Konfiguration lässt auch durch jeden ändern. Anti-Virus-Engines sehen den Agenten nicht als verdächtig an. Da eine URL als Zieladresse implementiert ist, lässt sich diese per Hosts-Redirection umleiten. Schließlich hat Absolute nach Angaben der Referenten Vereinbarungen mit Strafverfolgungsbehörden.
So lässt sich feststellen, ob Rootkit-Agent dem Laptop arbeitet: Es existieren im System32-Verzeichnis von Windows die Dateien »rpcnet.exe« und rpcnetp.exe«. Ein weiterer Punkt ist der Service »Remote Procedure Call (RPC) net« ohne eine Beschreibung. Auch ein Hinweis sind ausgehende Verbindungen zu der URL »search.namequery.com«.
Um den Agenten zu deaktivieren, ist einmal eine Hosts-File-Redirection möglich. Weiter lässt sich das Bios modifizieren – wird aber nur bei unsignierten Bios empfohlen. Auch über eine Änderung des Konfigurations-Blocks ist es möglich.
Um den Agenten zum Einsatz zu bringen, lädt das »Computrace Loader Module« das »Agent Installation Module«. Dieses installiert sich unter anderem bei den Betriebssystemen Windows-NT, -2000, -XP oder -Vista. Unterstütz werden die Dateisysteme FAT, FAT32 und NTFS. Der Anti-Theft-Agent ist eine ROM-Embedded-Option im Phoenix-BIOS.t
Nach Angaben der Referenten befindet sich die Lösung von Absolute unter anderem auf Laptops von Asus, Dell, Gateway, HP Lenovo, Panasonic oder Toshiba.
[1] http://www.absolute.com/de_DE/products/lojack
[2] http://www.absolute.com/de_DE/
[3] http://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-SLIDES.pdf
- 1. Seite: Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute
- 2. Seite: Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute (Fortsetzung)
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
