Anti-Diebstahl-Software für Notebooks als Einfallstor
Sicherheitsexperten haben die auf Notebooks oft vorinstallierte Anwendung Computrace unter die Lupe genommen. Ergebnis: Die Software hat eine massive Sicherheitslücke. Außerdem lässt sie sich nicht immer deaktivieren.
- Uli Ries
Vitaly Kamluk und Sergey Belov von Kaspersky stellen der Sicherheit der Antidiebstahl-Software Computrace von Absolute Software kein gutes Zeugnis aus: Per Man-in-the-Middle-Attacke lassen sich der Anwendung beliebige Kommandos unterschieben. Die Forscher demonstrierten, wie sie aus dem gleichen lokalen Netzwerk beispielsweise die Webcam des fremden Notebooks aktivieren oder dessen Festplatte löschen lässt.
Unsichere Updates
Verborgen ist die Schwachstelle im Update-Mechanismus der Software: Nach jedem Start von Windows versucht die zur Computrace-Software gehörende Komponente rpcnetp.exe eine TCP-Verbindung zum C&C-Server des Herstellers aufzubauen. Dieser lässt das eventuell vorhandene Update dann durch eine Kette von http-Kommandos Paket für Paket auf den PC wandern. Dort wird die neue Version Stück für Stück direkt im Arbeitsspeicher des Rechners abgelegt. Nachdem die komplette Kommunikation ohne Verschlüsselung oder Signatur auskommt, akzeptiert rpcnetp.exe den Kaspersky-Mitarbeitern zufolge Datenpakete aus beliebiger Quelle.
Nach einer ARP-Spoofing-Attacke im lokalen Netzwerk kommunizierte ein selbstgeschriebenes Stück Software während der Demo mit dem Notebook des Opfers und gab vor, der C&C-Server zu sein. Der Client akzeptierte beliebige Kommandos und ließ sich so zum Fernsteuern des Opfer-PCs missbrauchen. Kaspersky informierte Absolute Software über diese Schwachstelle, die Firma hat aber bis zur Präsentation der Fakten im Rahmen des Security Analyst Summit nicht reagiert.
Klassisches Malware-Verhalten
Das große Problem sei laut Vitaly Kamluk und Sergey Belov, dass Computrace im Option-ROM der Firmware abgelegt ist und sich somit nicht ohne weiteres entfernen lässt. Außerdem werde die Software automatisch bei jedem Windows-Start aktiviert, ganz ohne Zutun des Anwenders. Sie legt dabei automatisch Dateien im System32-Ordner auf der Platte ab, modifiziert Windows-Komponenten wie svchost.exe oder iexplore.exe und zeigt damit klassisches Malware-Verhalten.
Verschärft würde die Lage noch, weil sich die Computrace-Anwendung nicht in jedem Notebook-BIOS deaktivieren lasse. De facto laufen Besitzer solcher Geräte damit beim Login in ein öffentliches Netzwerk Gefahr, Opfer einer Infektion zu werden. Wobei den Forschern zufolge bislang noch keine realen Angriffe auf die Schwachstelle beobachtet wurden. (fab)
