发布时间:2019-06-11 22:58:59,来源:中国信息通信研究院
2019年6月10日,工业和信息化部网络威胁信息共享平台收到关于部分品牌电脑内置Absolute公司防盗软件Computrace的威胁情报。该软件可以利用其通信机制来远程执行任意代码。
一、威胁情况概述
计算机启动后,操作系统即隐蔽启动Computrace软件,Computrace客户端与Absolute 公司服务器通信,在协议层面针对服务器的合法性未做任何验证机制,攻击者通过DNS劫持和重放攻击,可以利用其通信机制来远程执行任意代码。因为Computrace防盗软件是烧制在BIOS中,无法通过应用软件进行修补,只要用户开放了该软件使用权限,那么该威胁将一直存在。
二、威胁影响范围及处理情况
国内众多品牌商务型笔记本或台式电脑
三、威胁修复建议
建议用户针对系统中已安装的Computrace软件采取相应的措施来降低或消除风险:
1. 电脑开机时按f1或DEL键,进入BIOS设置,在BIOS中“Security”菜单下查找是否有“Anti-Theft”子项,将其中“Computrace”设置修改为"Disabled"。
2. 更换主板或升级BIOS。
3. 打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager,将右边的 BootExecute 键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序自动再启动后续进程;在任务管理器中结束相关进程,删除windows\system32目录的rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll这4个文件,在Windows\system32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。
4. 禁止该软件访问网络,修改hosts文件,屏蔽该风险。记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存。
127.0.0.1 search.namequery.com
127.0.0.1 search.namequery.com
127.0.0.1 search2.namequery.com
127.0.0.1 search64.namequery.com
127.0.0.1 search.us.namequery.com
127.0.0.1 bh.namequery.com
127.0.0.1 namequery.nettrace.co.za
127.0.0.1 m229.absolute.com
并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 禁止访问网络。