dimanche 7 février 2010

Virus PC absolus. Plus rien de secret...même dans les banques...

BIOS rootkits FBI, NSA et CIA depuis des années.

...Anibal Sacco et Alfredo Ortega de la société Core Security Technologies ont fait une découverte stupéfiante, un nouveau virus qui s'installe par exemple dans le BIOS de votre PC est capable de résister à la réinstallation par formatage de Windows ainsi qu'au flashage du BIOS. Ces experts en sécurité informatique expliquent qu'ils peuvent installer dans un BIOS un bout de code résident fonctionnant sur une configuration Windows, OpenBSD ou même avec une machine virtuelle VMWare.

"Nous pouvons mettre le code où nous voulons. Nous n'utilisons pas une vulnérabilité [du système d'exploitation]. [...] Nous pouvons réinfecter le BIOS à chaque fois qu'il reboot."

"Nous pouvons patcher un pilote afin qu'il installe un rootkit totalement fonctionnel. Nous avons même un petit programme qui supprime ou désactive les antivirus."

http://www.extremepc.fr/actualite-2273-les-nouveaux-virus-infectent-le-bios-carte-mere-.html

Certains virus se cachent même dans les ROM, par exemple notamment celles des claviers, même dans le monde Mac...

Certains de ces virus très rares sont capables d 'attaquer directement notamment les données inscrites dans les CMOS.

Les CMOS sont des mémoires présentes par exemple sur la carte mère, souvent alimentée par une pile où sont sauvegardés certains paramètres de configuration, par exemple :

  • taille disque dur
  • taille RAM
  • date et heure
  • des données nécessaires au démarrage.
  • des chevaux de Troie, des rootkits, des portes arrières etc...

Une récupération peut être tentée par un redémarrage complet de votre machine avec les options par défaut du Bios, en ayant ôté et remis notamment toutes les batteries et attendu suffisamment longtemps pour que tous les condensateurs soient vidés et rechargeables à 100 %.

Il est souvent plus sûr d'acheter une machine et un clavier sûr n'ayant jamais été connectés à Internet, mais attention aux marques...

Des machines neuves ont ces menaces chargées dans les usines...par exemple HP, Dell, Lenovo, Toshiba, Gateway, Asus et Panasonic...

http://blogs.zdnet.com/security/?p=3828

...A popular laptop theft-recovery service that ships on notebooks made by HP, Dell, Lenovo, Toshiba, Gateway, Asus and Panasonic is actually a dangerous BIOS rootkit that can be hijacked and controlled by malicious hackers.,,,

LAS VEGAS — A popular laptop theft-recovery service that ships on notebooks made by HP, Dell, Lenovo, Toshiba, Gateway, Asus and Panasonic is actually a dangerous BIOS rootkit that can be hijacked and controlled by malicious hackers.

The service — called Computrace LoJack for Laptops — contains design vulnerabilities and a lack of strong authentication  that can lead to "a complete and persistent compromise of an affected system," according to Black Hat conference presentation by researchers Alfredo Ortega and Anibal Sacco from Core Security Technologies.

Computrace LoJack for Laptops, which is is pre-installed on about 60 percent of all new laptops, is a software agent that lives in the BIOS and periodically calls home to a central authority for instructions in case a laptop is stolen.  The call-home mechanism allows the central authority to instruct the BIOS agent to
wipe all information as a security measure, or to track the whereabouts of
the system.

For it to be an effective theft-recover service, Ortega and Sacco explained that it has to be stealthy, must have complete control of the system and must be highly-persistent to survive a hard disk wipe or operating system reinstall.

"This is a rootkit.  It might be legitimate rootkit, but it's a dangerous rootkit," Sacco declared.   The research team stumbled upon the rootkit-like technology in the course of their work on BIOS-based malware attacks.  At last year's CanSecWest security conference, the duo demonstrate methods for infecting the BIOS with persistent code that survive reboots and reflashing attempts.

[ SEE: Researchers demo BIOS attack that survives hard-disk wipe ]

The biggest problem, Ortega explained,  is that a malicious hacker can manipulate and control the call-home process.   That's because the technology uses a configuration method that contains the IP address, port and URL, all hard-coded in the Option-ROM.    At first run, Sacco explained that the configuration method is copied in many places, including the registry and hard-disk inter-partition space.

The duo found that it's trivial to search and modify the configuration, giving them the ability to point the the IP and URL to a malicious site, where un-authenticated payloads can be directed to laptop.

Because the rootkit is white-listed by anti-virus software, the malicious modifications will go unnoticed.   On unsigned BIOSes, Sacco and Ortega aid modifi cation of the confi guration allows for a very persistent and dangerous form of rootkit.

The pair recommended a digital signature scheme to authenticate the call-home process.

With the help of the U.S. Computer Emergency Response Team (US-CERT) and one major laptop manufacturer,  Core Security has reported the problems to Absolute Corp.,  the company that makes the Computrace software.

Aucun commentaire:

Archives du blog