Nieuws

BIOS rootkit in Lenovo, HP, Dell en Asus laptops ontdekt

vrijdag 31 juli 2009, 10:24 door Redactie, 12 reacties

Een populair anti-diefstal programma dat standaard op veel laptops van HP, Dell, Lenovo, Toshiba, Gateway, Asus, Panasonic en anderen is geïnstalleerd, is in werkelijkheid een rootkit, zo hebben onderzoekers ontdekt. Beveiligingsproblemen met de "Computrace LoJack voor Laptops" zorgen ervoor dat een aanvaller volledige controle over het systeem kan krijgen, die niet zo eenvoudig te verwijderen is. De software wordt op 60% van alle laptops en sommige desktops geïnstalleerd en bevindt zich in het BIOS. Het programma belt regelmatig naar "huis" om te zien of er nog instructies zijn in het geval de machine gestolen is. Zo kan op afstand alle data worden gewist, maar is het ook mogelijk om de locatie van de computer te monitoren. Eenmaal geactiveerd maakt de software ook aanpassingen in Windows.

Sinds 2004 is de BIOS omvang bij 60% van alle laptops met 25KB toegenomen. Dat geeft ontwikkelaars meer mogelijkheden, maar kan ook voor serieuze problemen zorgen. Als onderdeel van hun onderzoek wilden de Argentijnse beveiligingsonderzoekers Alfredo Ortega en Anibal Sacco een BIOS-rootkit ontwikkelen die het formatteren van de harde schijf kon overleven. "We ontdekten echter dat er al iets was", zo liet het tweetal tijdens de Black Hat conferentie weten.

Authenticatie
Aangezien er geen authenticatie door de BIOS wordt toegepast, kan een aanvaller het naar huis bellen manipuleren, om zo kwaadaardige software in de BIOS te installeren. Een eenvoudig proces, aldus de onderzoekers. De BIOS maakt namelijk gebruik van een hard geprogrammeerd IP-adres en URL om verbinding met de server te maken, maar die instelling kan door iedereen worden aangepast. Een bijkomend probleem is dat anti-virusbedrijven de rootkit in een whitelist hebben staan, waardoor kwaadaardige aanpassingen onopgemerkt blijven.

"We zijn zeker dat het overnemen van de antidiefstal software het mogelijk maakt om een zeer gevaarlijke BIOS-rootkit te installeren die alle chipset en installatie beperkingen kan omzeilen en veel van de bestaande features in dit soort software kan hergebruiken."

Oplossing
Gebruikers die de rootkit willen uitschakelen moeten hier verschillende stappen voor uitvoeren, maar de eenvoudigste oplossing is het HOSTS bestand aan te passen. Een grondige oplossing bestaat uit het aanpassen van het nvram, gevolgd door het wipen van de harde schijf. Ook hebben de onderzoekers een advies voor Absolute Software, de makers van de Computrace software, en dat is het gebruik van een digitale handtekening. Het onderzoek van de twee Argentijnen is hier te downloaden.

"1 op 63 smartphones besmet met spyware"

Adobe dicht dozijn ernstige lekken in Flash Player

Reacties (12)

31-07-2009, 10:49 door spatieman

hosts aanpassen.
prima.
MET WELK IP ADRES DAT NAAR 127.0.0.1 GESCHREVEN MOET WORDEN ?
hm!

31-07-2009, 12:11 door Anoniem

Kop is verkeerd: rootkit zit nog niet in de BIOS maar kan via exploit van antidiefstal product worden geinstalleerd. Heel wat anders dus.

31-07-2009, 16:15 door Anoniem

Als u schijft je moet het HOSTS bestand aanpassen. Wat bedoel je daar dan mee?
De aan vallende IP moet je eerst achterhalen voor dat je hem kan blockeren. De betrefde betrefde aanvaller zit op een
IP address, dit is een voorbeeld kan wezen: http://92.61.80.6

Dan moet je deze blockeren in de host 'file' in C:\Windows\System32\drivers\etc

voor je host 'bestand'opende met notepad, haal met windows verkenner , even kliken met rechtermuis op host bestand, haal allen-lezen weg, en verborgen. open host 'bestand, begin onderaan met een nieuwe regel en blockeer volgende website door midel van www. de naam van de website of zonder www. Je kan ze ook allere bij doen weet je zeker dat geblockeerd worden.
voorbeeld
127.0.0.1 http://92.61.80.6
127.0.0.1 www.verisign.com
127.0.0.1 verisign.com

31-07-2009, 17:44 door Anoniem

Wow. Dit is echt heftig en van een onvoorstelbare domheid. Gelukkig kan het wapen ook tegen zichzelf worden ingezet en op eenvoudige wijze worden uitgeschakeld.

31-07-2009, 19:52 door Anoniem

Ik heb je niet geleid naar de betrefde website? Gelukkig heeft Bill Gates
de maker van Windows de "Hosts file" uitgevonden en kan ik mij wapen hier tegen.

Heftig he wat vrouwen allemaal doen voor geld!

31-07-2009, 20:53 door nicolaasjan

Door spatieman: hosts aanpassen.
prima.
MET WELK IP ADRES DAT NAAR 127.0.0.1 GESCHREVEN MOET WORDEN ?
hm!

Als je even dat onderzoeksrapportje van die twee Argentijnen (zie http://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf) doorleest, zie je dat het gaat om het domein search.namequery.com
Dus in je hostsbestand toevoegen:
127.0.0.1 search.namequery.com

En nog iets:
IP adressen blokkeren in je hosts bestand kan niet; alleen domeinnamen...

mvg, nico.

31-07-2009, 21:14 door Anoniem

Je kan deze website wel op blacklist toevoegen van spamcop en dsnbl
http://www.spamcop.net/w3m?action=checkblock&ip=92.61.80.6
http://www.dnsbl.info/dnsbl-database-check.php?IP=92.61.80.6

01-08-2009, 00:04 door Anoniem

Domein namen kunnen heel makelijk geblockeerd. Als Stichting Brein bepaald dat de piratebay moet worden geblokkeerd en nederlandse rechter zegt dat moet dan is wet. Maar een man bepaald of je ergens mag naar kijken of niet van download mag.

http://92.61.80.6 Dit noemen we nouw democratie ! We blokeren het wel voor jou bij de ISP internet Service Profider en anders dreigen we met mega boetens!

02-08-2009, 14:54 door Kukel

Volledig O/T:

Sorry dat ik het zeg, maar wat wordt hier een enorme hoeveelheid onzin uitgekraamd voor oplossingen (Allen anoniem) en een slechts beperkte hoeveelheid zin (Nico). De kwaliteit van de reacties daalt hier met de maand.

03-08-2009, 11:49 door Anoniem

Kukel:
September houdt maar niet op... Ik wacht al 13 jaar...

03-08-2009, 14:57 door Anoniem

Wel nee hoe zover onzin. Als stiching brein het voorelkaar krijgt de Piratebay te blockeren in Nederland via de rechter.
Om geld doen ze alles betrefd democratie. Geld is vies en stinkt naar P0EP! Wat loop je nou tezeuren over mega boetens als de Piratebay toch overal schijdt aan heeft.!

03-08-2009, 18:52 door Anoniem

Hier krijg je "toetende oren" van! ! !
Sunwarm

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer