Researchersfind insecure BIOS 'rootkit' preloaded in laptops

July 30th, 2009

Posted by Ryan Naraine @1:18 pm

Theo:http://blogs.zdnet.com/security/?p=3828

Bài được đưa lênInternet ngày: 30/07/2009

Lờingười dịch: “Computrace LoJack for Laptops, mà nó đượccài đặt sẵn trên khoảng 60% tất cả các máy tính xáchtay mới, là một phần mềm đại lý mà nó sống trongBIOS và thường xuyên gọi về nhà tới một cơ quan cóthẩm quyền trung tâm để nhận các mệnh lệnh trongtrường hợp một máy tính xách tay bị ăn cắp. Cơ chếgọi về nhà này cho phép cơ quan có thẩm quyền trung ươngnày ra lệnh cho đại lý BIOS này quét sạch tất cả cácthông tin như một cách thức an ninh, hoặc giám sát nơichốn của hệ thống”. Có thể phần mềm này là mộtcon dao 2 lưỡi cho những quốc gia nào không có khả năngsản xuất chip và máy tính. Có thể vì lẽ đó mà cáccường quốc như Trung Quốc và Ấn Độ lại phải sảnxuất chip riêng cho mình chăng?.

Las Vegas – Một dịchvụ phổ biến về khôi phục các máy tính xách tay bịđánh cắp mà xuất xưởng các máy tính xách tay đượclàm bởi HP, Dell, Lenovo, Toshiba, Gateway, Asus và Panasonic làbộ công cụ gốc (rootkit) của BIOS nguy hiểm mà có thểbị thâm nhập và bị kiểm soát bởi các tin tặc ác độc.

Dịch vụ này – đượcgọi là Computrace LoJack for Laptops (Giám sát máy tính LoJackcho các máy tính xách tay) – chứa những chỗ dễ bị tổnthương về thiết kế và thiếu sự xác thực mạnh mà cóthể dẫn tới “một sự tổn thương hoàn toàn và vĩnhviễn của một hệ thống bị lây nhiễm”, theo bài trìnhbày tại hội nghị Mũ Đen (Black Hat) của các nhà nghiêncứu Alfredo Ortega và Anibal Sacco của Core SecurityTechnologies.

Ảnh: cácnhà nghiên cứu Alfredo Ortega và Anibal Sacco.

ComputraceLoJack for Laptops, mà nó được cài đặt sẵn trên khoảng60% tất cả các máy tính xách tay mới, là một phần mềmđại lý mà nó sống trong BIOS và thường xuyên gọi vềnhà tới một cơ quan có thẩm quyền trung tâm để nhậncác mệnh lệnh trong trường hợp một máy tính xách taybị ăn cắp. Cơ chế gọi về nhà này cho phép cơ quan cóthẩm quyền trung ương này ra lệnh cho đại lý BIOS nàyquét sạch tất cả các thông tin như một cách thức anninh, hoặc giám sát nơi chốn của hệ thống.

Để nó trở thànhmột dịch vụ khôi phục có hiệu quả khi bị ăn cắp,Ortega và Sacco đã giải thích rằng nó phải là lén lút,phải có sự kiểm soát hệ thống hoàn toàn và phải cóđộ bền bỉ cao để sống sót với sự quét sạch củaổ cứng hoặc cài đặt lại hệ điều hành.

“Đây là một bộcông cụ gốc. Nó có thể là bộ công cụ gốc hợp pháp,nhưng nó còn là một bộ công cụ gốc nguy hiểm”, Saccotuyên bố. Đội nghiên cứu tình cờ gặp công nghệ nhưbộ công cụ gốc này trong khoá học về công việc củahọ về các cuộc tấn công ác độc dựa vào BIOS. Tạihội nghị an ninh CanSecWest năm ngoái, 2 nhà nghiên cứu nàytrình bày các phương pháp cho việc lây nhiễm BIOS với mãnguồn dai dẳng mà chúng sống qua được các lần khởiđộng lại và những mưu toan định dạng lại đĩa cứng.

[Xem: Cácnhà nghiên cứu biểu diễn cuộc tấn công BIOS mà sốngsót với việc quét sạch đĩa cứng]

LASVEGAS — A popular laptop theft-recovery service that ships onnotebooks made by HP, Dell, Lenovo, Toshiba, Gateway, Asus andPanasonic is actually a dangerous BIOS rootkit that can be hijackedand controlled by malicious hackers.

Theservice — called ComputraceLoJack for Laptops — contains design vulnerabilities and a lackof strong authentication  that can lead to “a complete andpersistent compromise of an affected system,” according to BlackHat conference presentation by researchers Alfredo Ortega andAnibal Sacco f-rom Core Security Technologies.

ComputraceLoJack for Laptops, which is is pre-installed on about 60 percent ofall new laptops, is a software agent that lives in the BIOS andperiodically calls home to a central authority for instructions incase a laptop is stolen.  The call-home mechanism allows thecentral authority to instruct the BIOS agent to wipe all informationas a security measure, or to track the whe-reabouts of
the system.

Forit to be an effective theft-recover service, Ortega and Saccoexplained that it has to be stealthy, must have complete control ofthe system and must be highly-persistent to survive a hard disk wipeor operating system reinstall.

“Thisis a rootkit.  It might be legitimate rootkit, but it’s adangerous rootkit,” Sacco declared.   The research teamstumbled upon the rootkit-like technology in the course of theirwork on BIOS-based malware attacks.  At last year’sCanSecWest security conference, the duo demonstrate methods forinfecting the BIOS with persistent code that survive reboots andreflashing attempts.

[SEE: Researchersdemo BIOS attack that survives hard-disk wipe ]

Vấnđề lớn nhất, Ortega đã giải thích, là việc một kẻtấn công độc ác có thể kiểm soát và điều khiểnđược quá trình gọi về nhà. Đó là vì công nghệ nàysử dụng một phương pháp thiết lập cấu hình mà nóchứa địa chỉ IP, cổng và URL, tất cả được lậptrình cứng vào trong bộ nhớ chỉ đọc được lựa chọn(Option – ROM). Lúc đầu, Sacco đã giải thích rằng phươngpháp thiết lập cấu hình này được sao chép tại nhiềuvị trí, bao gồm cả không gian đăng ký và phân vùng bêntrong đĩa cứng.

Hai nhà nghiên cứunày đã tìm thấy rẳng không quan trọng để tìm kiếm vàsửa đổi thiết lập cấu hình này, trao cho họ khả năngchỉ ra IP và URL tới một site độc hại, nơi mà việctrả tiền không có xác thực có thể được định hướngtới máy tính xách tay.

Vì bộ công cụ gốcnày là được liệt kê bởi phần mềm chống virus, nênnhững sửa đổi độc hại sẽ đi mà không được thôngbáo gì. Về các BIOS không được ký, Sacco và Ortega giúpsửa đổi cấu hình cho phép một dạng rất bền bỉ vànguy hiểm của bộ công cụ gốc.

Cả 2 đã khuyến cáomột sơ đồ ký điện tử đẻ xác thực quá trình gọivề nhà này.

Với sự giúp đỡcủa Độ Phản ứng Cứu hộ máy tính Mỹ (US-CERT) và mộtnhà sản xuất máy tính xách tay chủ chốt, Core Security đãbáo cáo các vấn đề này cho hãng Absolute Corp, hãng màlàm ra phần mềm theo dõi máy tính Computrace.

Thebiggest problem, Ortega explained,  is that a malicious hackercan manipulate and control the call-home process. That’s becausethe technology uses a configuration method that contains the IPaddress, port and URL, all hard-coded in the Option-ROM.   At first run, Sacco explained that the configuration method is copiedin many places, including the registry and hard-disk inter-partitionspace.

Theduo found that it’s trivial to search and modify the configuration,giving them the ability to point the the IP and URL to a malicioussite, whe-re un-authenticated payloads can be directed to laptop.

Becausethe rootkit is white-listed by anti-virus software, the maliciousmodifications will go unnoticed. On unsigned BIOSes, Sacco and Ortegaaid modification of the configuration allows for a very persistentand dangerous form of rootkit.

Thepair recommended a digital signature scheme to authenticate thecall-home process.

Withthe help of the U.S. Computer Emergency Response Team (US-CERT) andone major laptop manufacturer, Core Security has reported theproblems to Absolute Corp., the company that makes the Computracesoftware.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com