背景:
5月30日,互联网上曝出Absolute公司的防盗追踪软件存在安全风险,该软件会向境外传输不明数据、监控用户行为、下载安装不明程序,为规避该软件带来的安全风险,我们将在网络层统一屏蔽该软件使用的域名,个人用户可参考附件中的解决方案自行处理,详情如下:
- 漏洞名称
关于Absolute公司防盗追踪软件会向境外传输不明数据等安全风险
- 漏洞等级
紧急
- 漏洞描述
有研究人员发现其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,在计算机启动后,操作系统会静默安装该软件并向境外传输不明数据。该软件还可从计算机中远程获取用户文件,监控用户行为以及在未授权情况下下载安装不明程序。该软件预置在多款型号的计算机BIOS芯片中,Computrace软件提供可用于远程控制的网络协议,无任何加密措施或认证就可以被远程服务器控制,该功能随开机启动,常驻用户计算机,有较大的安全风险。
- 受影响主机
目前包括联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响。
- 解决方案
1、我们将在网络层统一屏蔽该软件使用的域名来达到规避风险的效果,个人用户可参考附件中的解决方案自行处理;
2、双击运行附件中的.reg文件可删除启动项,防止软件启动。
- 参考资料
http://blog.nsfocus.net/security-risk-absolutes-anti-theft-tracking-software
- wiki链接
http://docs.dc.servyou-it.com/pages/viewpage.action?pageId=2378122
批处理脚本:
为方便大家修复,我写了个批处理,保存附件到桌面后,右键选择“以管理员身份运行”,看到“修改完成”就可以了(注意:只需运行一次,不然会多次写入),截图如下:
@echo off
echo Absolute漏洞修复程序
@echo by: 京斗码农
@echo update: 2019/6/3
@echo.
@echo y | cacls "C:\Windows\System32\drivers\etc\hosts" /e /p everyone:w >nul
@echo 127.0.0.1 search.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 search2.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 search64.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 search.us.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 bh.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 namequery.nettrace.co.za >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1 m229.absolute.com >> C:\Windows\System32\drivers\etc\hosts
@echo 修复完成,按任意键退出~
@pause > nul
@echo on
仅供参考。