image

BIOS rootkit in Lenovo, HP, Dell en Asus laptops ontdekt

vrijdag 31 juli 2009, 10:24 door Redactie, 12 reacties

Een populair anti-diefstal programma dat standaard op veel laptops van HP, Dell, Lenovo, Toshiba, Gateway, Asus, Panasonic en anderen is geïnstalleerd, is in werkelijkheid een rootkit, zo hebben onderzoekers ontdekt. Beveiligingsproblemen met de "Computrace LoJack voor Laptops" zorgen ervoor dat een aanvaller volledige controle over het systeem kan krijgen, die niet zo eenvoudig te verwijderen is. De software wordt op 60% van alle laptops en sommige desktops geïnstalleerd en bevindt zich in het BIOS. Het programma belt regelmatig naar "huis" om te zien of er nog instructies zijn in het geval de machine gestolen is. Zo kan op afstand alle data worden gewist, maar is het ook mogelijk om de locatie van de computer te monitoren. Eenmaal geactiveerd maakt de software ook aanpassingen in Windows.

Sinds 2004 is de BIOS omvang bij 60% van alle laptops met 25KB toegenomen. Dat geeft ontwikkelaars meer mogelijkheden, maar kan ook voor serieuze problemen zorgen. Als onderdeel van hun onderzoek wilden de Argentijnse beveiligingsonderzoekers Alfredo Ortega en Anibal Sacco een BIOS-rootkit ontwikkelen die het formatteren van de harde schijf kon overleven. "We ontdekten echter dat er al iets was", zo liet het tweetal tijdens de Black Hat conferentie weten.

Authenticatie
Aangezien er geen authenticatie door de BIOS wordt toegepast, kan een aanvaller het naar huis bellen manipuleren, om zo kwaadaardige software in de BIOS te installeren. Een eenvoudig proces, aldus de onderzoekers. De BIOS maakt namelijk gebruik van een hard geprogrammeerd IP-adres en URL om verbinding met de server te maken, maar die instelling kan door iedereen worden aangepast. Een bijkomend probleem is dat anti-virusbedrijven de rootkit in een whitelist hebben staan, waardoor kwaadaardige aanpassingen onopgemerkt blijven.

"We zijn zeker dat het overnemen van de antidiefstal software het mogelijk maakt om een zeer gevaarlijke BIOS-rootkit te installeren die alle chipset en installatie beperkingen kan omzeilen en veel van de bestaande features in dit soort software kan hergebruiken."

Oplossing
Gebruikers die de rootkit willen uitschakelen moeten hier verschillende stappen voor uitvoeren, maar de eenvoudigste oplossing is het HOSTS bestand aan te passen. Een grondige oplossing bestaat uit het aanpassen van het nvram, gevolgd door het wipen van de harde schijf. Ook hebben de onderzoekers een advies voor Absolute Software, de makers van de Computrace software, en dat is het gebruik van een digitale handtekening. Het onderzoek van de twee Argentijnen is hier te downloaden.

Reacties (12)
31-07-2009, 10:49 door spatieman
hosts aanpassen.
prima.
MET WELK IP ADRES DAT NAAR 127.0.0.1 GESCHREVEN MOET WORDEN ?
hm!
31-07-2009, 12:11 door Anoniem
Kop is verkeerd: rootkit zit nog niet in de BIOS maar kan via exploit van antidiefstal product worden geinstalleerd. Heel wat anders dus.
31-07-2009, 16:15 door Anoniem
Als u schijft je moet het HOSTS bestand aanpassen. Wat bedoel je daar dan mee?
De aan vallende IP moet je eerst achterhalen voor dat je hem kan blockeren. De betrefde betrefde aanvaller zit op een
IP address, dit is een voorbeeld kan wezen: http://92.61.80.6

Dan moet je deze blockeren in de host 'file' in C:\Windows\System32\drivers\etc

voor je host 'bestand'opende met notepad, haal met windows verkenner , even kliken met rechtermuis op host bestand, haal allen-lezen weg, en verborgen. open host 'bestand, begin onderaan met een nieuwe regel en blockeer volgende website door midel van www. de naam van de website of zonder www. Je kan ze ook allere bij doen weet je zeker dat geblockeerd worden.
voorbeeld
127.0.0.1 http://92.61.80.6
127.0.0.1 www.verisign.com
127.0.0.1 verisign.com
31-07-2009, 17:44 door Anoniem
Wow. Dit is echt heftig en van een onvoorstelbare domheid. Gelukkig kan het wapen ook tegen zichzelf worden ingezet en op eenvoudige wijze worden uitgeschakeld.
31-07-2009, 19:52 door Anoniem
Ik heb je niet geleid naar de betrefde website? Gelukkig heeft Bill Gates
de maker van Windows de "Hosts file" uitgevonden en kan ik mij wapen hier tegen.

Heftig he wat vrouwen allemaal doen voor geld!
31-07-2009, 20:53 door nicolaasjan
Door spatieman: hosts aanpassen.
prima.
MET WELK IP ADRES DAT NAAR 127.0.0.1 GESCHREVEN MOET WORDEN ?
hm!
Als je even dat onderzoeksrapportje van die twee Argentijnen (zie http://www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf) doorleest, zie je dat het gaat om het domein search.namequery.com
Dus in je hostsbestand toevoegen:
127.0.0.1 search.namequery.com

En nog iets:
IP adressen blokkeren in je hosts bestand kan niet; alleen domeinnamen...

mvg, nico.
31-07-2009, 21:14 door Anoniem
Je kan deze website wel op blacklist toevoegen van spamcop en dsnbl
http://www.spamcop.net/w3m?action=checkblock&ip=92.61.80.6
http://www.dnsbl.info/dnsbl-database-check.php?IP=92.61.80.6
01-08-2009, 00:04 door Anoniem
Domein namen kunnen heel makelijk geblockeerd. Als Stichting Brein bepaald dat de piratebay moet worden geblokkeerd en nederlandse rechter zegt dat moet dan is wet. Maar een man bepaald of je ergens mag naar kijken of niet van download mag.

http://92.61.80.6 Dit noemen we nouw democratie ! We blokeren het wel voor jou bij de ISP internet Service Profider en anders dreigen we met mega boetens!
02-08-2009, 14:54 door Kukel
Volledig O/T:

Sorry dat ik het zeg, maar wat wordt hier een enorme hoeveelheid onzin uitgekraamd voor oplossingen (Allen anoniem) en een slechts beperkte hoeveelheid zin (Nico). De kwaliteit van de reacties daalt hier met de maand.
03-08-2009, 11:49 door Anoniem
Kukel:
September houdt maar niet op... Ik wacht al 13 jaar...
03-08-2009, 14:57 door Anoniem
Wel nee hoe zover onzin. Als stiching brein het voorelkaar krijgt de Piratebay te blockeren in Nederland via de rechter.
Om geld doen ze alles betrefd democratie. Geld is vies en stinkt naar P0EP! Wat loop je nou tezeuren over mega boetens als de Piratebay toch overal schijdt aan heeft.!
03-08-2009, 18:52 door Anoniem
Hier krijg je "toetende oren" van! ! !
Sunwarm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.