Полезное ПО может стать оружием для атаки

Александр Панасенко 12 Февраля 2014 - 18:00

...

«Лаборатория Касперского» обнаружилa, что несовершенная реализация сетевого протокола, используемого продуктом Absolute Computrace компании Absolute Software, может стать своего рода «архимедовым рычагом» и превратить полезное ПО в мощное орудие злоумышленников. Этот программный недочет способен потенциально открыть киберпреступникам доступ к миллионам компьютеров по всему миру – и в качестве ключа в этом случае выступит программный агент Absolute Computrace, хранящийся в прошивке BIOS современных компьютеров и ноутбуков.

Анализировать эту особенность защитного ПО Absolute Software специалисты «Лаборатории Касперского» начали после того, как выяснили, что программный агент Absolute Computrace работает на ряде компьютеров без предварительной авторизации. Несмотря на то что этот продукт является легальной разработкой, некоторые пользователи утверждали, что никогда его не устанавливали и не активировали, а в ряде случаев и вовсе не знали о существовании этого ПО на своих компьютерах. В то время как большинство предустановленных программ может быть легко удалено или деактивировано пользователем,Absolute Computrace, располагаясь в прошивке компьютера, продолжает работать даже после тщательной чистки системы или замены диска.

Однако не только эта особенность Absolute Computrace может вызвать подозрение у пользователей. Это ПО применяет технологии, затрудняющие дизассемблирование и анализ, а также другие инструменты, популярные у создателей зловредов, в частности инъекции в память других процессов, организацию скрытых каналов связи, изменение системных файлов на диске, шифрование конфигурационных данных и создание исполняемых файлов Windows непосредственно из кода прошивки BIOS.

«При помощи таких мощных программных агентов киберпреступники получают потенциальную возможность взять под контроль компьютеры, на которых установлено решение Absolute Computrace. Теоритически это программное обеспечение может быть использовано злоумышленниками для развертывания шпионских модулей, – поясняет Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». – Для того чтобы столь сильный инструмент, каким является Absolute Computrace, продолжал служить во благо, он должен использовать механизмы аутентификации и шифрования. Очевидно, что при такой высокой степени распространенности этого ПО на современных компьютерах разработчик, т.е. Absolute Software, должен нести ответственность за информирование пользователей о том, как деактивировать программу. В противном случае эти брошенные на произвол программные агенты станут отличной лазейкой для злоумышленников, эксплуатирующих уязвимости».

Согласно данным, полученным из облачного сервиса Kaspersky Security Network, программный агент Absolute Computrace функционирует сегодня в системах около 150 тысяч пользователей. Общее же число пользователей с активированным агентом по некоторым оценкам может превышать 2 миллиона, и не известно, сколько из них знают о существовании этого ПО на своем компьютере. Также эксперты установили, что большинство компьютеров с активно работающим агентом Absolute Computrace находится в США и России.

Сетевой протокол Computrace, предоставляет базовые возможности для удаленного выполнения кода. Он не требует использования каких-либо криптографических механизмов для шифрования данных или проверки удаленного сервера, что дает злоумышленникам возможность для совершения удаленных атак в незащищенном сетевом окружении.

В настоящее время нет доказательств того, что Absolute Computrace используется как платформа для проведения атак. Однако эксперты из многих компаний видят подобную возможность – и это косвенно подтверждается не получившими на данный момент объяснения случаями неавторизованных активаций этой программы.

Между тем, еще в 2009 году специалисты Core Security Technologies опубликовали свои исследования программы Absolute Computrace. Они рассказали об опасностях используемых в ней технологий и о том, как злоумышленники могут модифицировать системный реестр с целью перехвата управления над программой. В прошлом различные неоднозначные с точки зрения безопасности механизмы работы программного агента Absolute Computrace были поводом для срабатывания антивируса. Согласно некоторым отчетам, защитное решение Microsoft когда-то классифицировало Absolute Computrace какVirTool:Win32/BeeInject. Однако впоследствии Microsoft и другие вендоры защитных продуктов перестали выделять агент этой программы как вредоносное ПО. Исполняемые файлы Absolute Computrace на данный момент внесены в белые списки большинства антивирусных компаний.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 17:29

Windows Домашние пользователи Корпорации Защита персональных данных Microsoft

Recall в Windows 11 может записывать пароли и банковские данные

Переход на Windows 11 долго считался вопросом времени. Рано или поздно, дескать, всё равно придётся. Однако теперь специалисты по защите данных всё чаще говорят обратное: если вам важна конфиденциальность, с обновлением лучше повременить.

Поводом для тревоги стала ИИ-функция Recall, о которой пишет PCWorld. Она способна автоматически сохранять скриншоты экрана и, по мнению экспертов, может фиксировать важные данные: пароли, банковскую информацию, медицинские сведения и другую информацию.

Организация Centre for Digital Rights and Democracy прямо рекомендует пользователям, работающим с конфиденциальными данными, избегать Windows 11 вообще. Причина простая: даже если Recall отключён, он остаётся частью операционной системы.

Microsoft утверждает, что функция доступна только на Copilot+ PC, но, как отмечают эксперты, Recall обнаружен на всех компьютерах с Windows 11 версии 24H2. А значит, теоретически его можно активировать через обновления и без согласия пользователя.

Пока Recall встроен в систему, он рассматривается как потенциальный риск, а постоянная запись экранного контента, по мнению правозащитников, может даже нарушать требования GDPR.

Специалисты по защите данных выделяют несколько сценариев — с разной степенью риска:

Остаться на Windows 10, пока она получает патчи.
Самый надёжный вариант, но только до октября 2026 года, когда закончится программа расширенной поддержки.
Перейти на Windows 11 и отключить Recall.
Частично снижает риски, но не решает проблему полностью: функция остаётся в системе.
Перейти на Windows 11 и довериться Microsoft.
Эксперты оценивают этот вариант как наименее безопасный — политика компании может измениться в любой момент.

С учётом того, что у Windows 10 есть чёткая дата окончания поддержки, правозащитники всё чаще советуют заранее рассматривать альтернативы, в первую очередь — Linux, как более прозрачную и контролируемую платформу.

«Ситуация вокруг Windows 11 наглядно показывает, к каким последствиям может привести поспешное внедрение новых технологий. Стремясь как можно быстрее вывести на рынок ИИ-функции, Microsoft сталкивается с серьёзными вопросами безопасности. Для коммерческих организаций — особенно в финансовом секторе, государственных структурах и на объектах критической информационной инфраструктуры — такие риски недопустимы.

Операционная система Astra Linux изначально разрабатывалась с фокусом на защиту корпоративных данных: безопасность здесь не дополнительная надстройка, а базовый элемент архитектуры. В платформе реализованы развитые механизмы защиты, включая мандатный контроль целостности (МКЦ), который обеспечивает комплексный подход — предотвращает несанкционированный доступ к данным, контролирует целостность системных файлов и блокирует их модификацию, разграничивает доступ на уровне процессов и надёжно защищает от утечек информации.

Эти механизмы проверены временем и позволяют нашим заказчикам быть уверенными в сохранности критически важной информации», — прокомментировал Роман Мылицын, руководитель отдела перспективных исследований «Группы Астра».

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »