CCN-CERT AL 02/16 Computrace: amenaza oculta en la BIOS

Publicado: 10 Marzo 2016


	ALERTAS

	Computrace: amenaza oculta en la BIOS Publicado el: 10/03/2016 El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, le informa sobre una posible amenaza oculta en la BIOS de los ordenadores portátiles más populares, a través del software de protección antirrobo Absolute Data & Device Security, también conocido como Absolute Computrace. Al igual que otras soluciones de este tipo, esta aplicación se conecta con servidores remotos de forma autónoma para enviar mensajes que hagan referencia a la ubicación del equipo y poder proceder a su localización. Para establecer esta comunicación es necesaria la instalación y ejecución de un agente local pero se ha descubierto que, incluso en equipos en los que no se había instalado este agente de forma explícita, la comunicación seguía presentándose. Investigaciones han concluido que este software se instala desde la BIOS del dispositivo, de forma que incluso con un formateo o sustitución del disco duro permanece activo y puede comprometer el equipo de forma remota. De hecho, millones de ordenadores están ejecutando el software Absolute Computrace y un gran número de usuarios podrían no ser conscientes de que está activo y en funcionamiento. Vulnerabilidades Las capacidades de este software incluyen, entre otras, la lectura del disco duro del sistema, incluso en el caso en que este esté protegido mediante el Bitlocker de Windows, la ejecución de comandos y el intercambio de datos. El agente Computrace se conecta con las siguientes direcciones IP y URL: search.namequery.com 209.53.113.223 Una vez establecida la comunicación, el agente espera órdenes por parte de los servidores para la ejecución de tareas. Se ha verificado que la información intercambiada entre los agentes y los servidores no se encuentra protegida ni cifrada de forma que puede ser interceptada y manipulada por un atacante malicioso. Este atacante podría obtener datos del equipo y provocar la ejecución de software de manera no deseada. Evidencias La instalación del agente de Computrace se manifiesta con la presencia de los siguientes programas y librerías en la carpeta de sistema de Windows (c:\windows\system32): rpcnet.dll rpcnet.exe rpcnetp.dll rpcnetp.exe Hay que destacar que el Computrace no se detecta con los sistemas antivirus, al estar marcado como aplicación fiable en las listas blancas de los mismos. Recomendaciones Para evitar esta vulnerabilidad se propone restringir la comunicación con los servidores a los que se conecta el agente de Computrace mediante las correspondientes reglas en los proxies, routers y firewalls correspondientes: search.namequery.com 209.53.113.223 Más información: Securelist Kaspersky Atentamente, Equipo CCN-CERT ////////////////////////////////////////////////////////////////////////////////////////// Esta es una lista de notificaciones del CCN-CERT. Por favor, no responda a este correo. Si necesita más información, póngase en contacto con nosotros a través del correo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. Síganos en: www.ccn-cert.cni.es ////////////////////////////////////////////////////////////////////////////////////////// El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es). Este servicio se creó en el año 2006 como el CERT Gubernamental/Nacional español y sus funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de octubre. De acuerdo a todas ellas, es competencia del CCN-CERT la gestión de ciberincidentes que afecten a sistemas clasificados, de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas. --------------------- Claves PGP Públicas --------------------- Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. / Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. -------------------- Fingerprint: 4E02 00AE B06B 9E9D 20FE D3FF 8CC9 CC95 949A 0AA6 Descarga -------------------- ////////////////////////////////////////////////////////////////////////////////////////// AVISO DE CONFIDENCIALIDAD: El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

© 2016 Centro Criptológico Nacional, Argentona 20, 28023 MADRID

Miembros de