Startseite > Security > Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute

Laptops von Asus, Dell, HP, Lenovo oder Toshiba betroffen

Potenzielles Rootkit im Laptop: Diebstahlschutz von Absolute

3. August 2009, 14:29 Uhr | Werner Veith

Der »Computrace LoJack«-Agent von Absolute Software modifiziert beim Booten direkt das Datei-System, um sich zu installieren. (Quelle: Anibal Sacco und Alfredo A. Ortega)

Eigentlich ist der Diebstahlschutz »Computrace LoJack« von Absolute Software für Laptops eine gute Sache. Aber er lässt sich als Rootkit missbrauchen, wie ein Vortrag auf Blackhat-Konferenz zeigt. Das Problem ist der Agent, der sich über das Bios installiert.

Laptops gehen schnell verloren in Taxis, Restaurant, Hotels oder Flughäfen. Aus diesem Grund ist eine Lösung wie »Computrace LoJack« von Absolute Software eine interessante Sache. Der im Bios installierte Agent liefert nach einer Diebstahlmeldung in kurzen Abständen Informationen an Absolute, die helfen sollen, den Laptop zu finden. Doch die Lösung erweist sich nicht nur als gefährlich für die Diebe, sondern auch den Besitzer, wie ein Vortrag von Anibal Sacco und Alfredo A. Ortega auf Blackhat-Konferenz zeigt: Die Software lässt sich leicht für andere Zwecke missbrauchen. Die Referenten kamen auf das Problem, als sie testweise selbst ein Rootkit im Bios installieren wollten.

Der Agent installiert sich selbst als Service beim Booten des Betriebssystems. Sobald dieser läuft, baut er ähnlich wie bei RPC (Remote-Procedure-Call) über Http eine Verbindung mit einem Server auf. Eine Authentifizierung findet aber nicht statt. Außerdem kann jeder mit genügend Rechten den Agenten aktivieren und die Konfiguration lässt auch durch jeden ändern. Anti-Virus-Engines sehen den Agenten nicht als verdächtig an. Da eine URL als Zieladresse implementiert ist, lässt sich diese per Hosts-Redirection umleiten. Schließlich hat Absolute nach Angaben der Referenten Vereinbarungen mit Strafverfolgungsbehörden.

So lässt sich feststellen, ob Rootkit-Agent dem Laptop arbeitet: Es existieren im System32-Verzeichnis von Windows die Dateien »rpcnet.exe« und rpcnetp.exe«. Ein weiterer Punkt ist der Service »Remote Procedure Call (RPC) net« ohne eine Beschreibung. Auch ein Hinweis sind ausgehende Verbindungen zu der URL »search.namequery.com«.