当前位置:首页 > 漏洞预警 > 正文

关于部分品牌电脑内置Absolute公司防盗软件的安全提示

发布时间:2019-06-11 22:58:59,来源:中国信息通信研究院

2019年6月10日,工业和信息化部网络威胁信息共享平台收到关于部分品牌电脑内置Absolute公司防盗软件Computrace的威胁情报。该软件可以利用其通信机制来远程执行任意代码。


一、威胁情况概述


计算机启动后,操作系统即隐蔽启动Computrace软件,Computrace客户端与Absolute 公司服务器通信,在协议层面针对服务器的合法性未做任何验证机制,攻击者通过DNS劫持和重放攻击,可以利用其通信机制来远程执行任意代码。因为Computrace防盗软件是烧制在BIOS中,无法通过应用软件进行修补,只要用户开放了该软件使用权限,那么该威胁将一直存在。


二、威胁影响范围及处理情况


国内众多品牌商务型笔记本或台式电脑


三、威胁修复建议


建议用户针对系统中已安装的Computrace软件采取相应的措施来降低或消除风险:


1.  电脑开机时按f1或DEL键,进入BIOS设置,在BIOS中“Security”菜单下查找是否有“Anti-Theft”子项,将其中“Computrace”设置修改为"Disabled"。


2.   更换主板或升级BIOS。


3.   打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager,将右边的 BootExecute 键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序自动再启动后续进程;在任务管理器中结束相关进程,删除windows\system32目录的rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll这4个文件,在Windows\system32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。


4.   禁止该软件访问网络,修改hosts文件,屏蔽该风险。记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存。


    127.0.0.1       search.namequery.com

    127.0.0.1       search.namequery.com

    127.0.0.1       search2.namequery.com

    127.0.0.1       search64.namequery.com

    127.0.0.1       search.us.namequery.com

    127.0.0.1       bh.namequery.com

    127.0.0.1       namequery.nettrace.co.za

    127.0.0.1       m229.absolute.com

    并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe  禁止访问网络。