Onderzoekers ontdekken nieuwe BIOS-rootkit
Onderzoekers hebben een nieuwe rootkit ontdekt die de BIOS van computers infecteert om zo een herstart van het systeem te overleven. De BIOS (Basic Input Output System) is een bibliotheek met een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware, en is essentieel voor de werking van de computer.
De Mebromi Trojan die vorig jaar september werd ontdekt, flashte de BIOS en infecteerde de Master Boot Record (MBR) van de harde schijf. De BIOS-aanpassing controleert of de malware nog steeds in de MBR van de harde schijf actief is. Is dit niet het geval, dan wordt de MBR opnieuw geïnfecteerd. Het opnieuw formatteren van de harde schijf of zelfs het vervangen ervan, kan het virus niet volledig verwijderen.
Award
De nu ontdekte 'Bioskit' heeft het ook op de BIOS van chipfabrikant Award voorzien. Zodra de malware de Windows-computer infecteert, wordt de BIOS geflasht. Hierbij wordt eerst gecontroleerd of het wel om een Award BIOS gaat. Het gebruikte bestand voor het flashen komt overeen met die van de eerste Bioskit van vorig jaar, waardoor het vermoeden bestaat dat de twee malware-exemplaren van dezelfde ontwikkelaars afkomstig zijn.
"Het kan geen toeval zijn dat bijna alle strings identiek zijn, inclusief de taalfouten en slechte grammatica. Dit suggereert dat hetzelfde individu of groep achter deze BIOS-flashende malware zit", zegt McAfee's Arvind Gowda. Hij verwacht dat er meer Bioskits zullen volgen. "Het is niet lastig om malware in de MBR te detecteren en te verwijderen, maar het schoonmaken van een BIOS-infectie zal voor beveiligingsbedrijven een uitdaging zijn."
En (@Microsoft, andere software ontwikkelaars -van met name drivers- en @Security reserachers): privilege escalation attacks als veel gevaarlijker beschouwen dan nu gangbaar is en deze zoveel mogelijk voorkomen en waar nodig ASAP patchen.
Het BIOS is in principe gevoelig voor virussen. Op sommige moederborden is een versleuteling aanwezig, waardoor het BIOS niet gewijzigd kan worden zonder een wachtwoord in te geven. In 2009 waren er nog geen grote virus-aanvallen van het BIOS bekend.
Welke moederborden ?
En voorkom je dit met een BIOS - wachtwoord ?
Dat krijg je als je deze website regelmatig bezoekt. :)
Mensen zullen dat wel weer als "lastig" ervaren, de kast moet tenslotte open. Maar goed, hoe vaak doe je zo'n BIOS update nou eigenlijk?
Ik weet niet met welke borden zo'n actie nodig is.
Met sommige borden is het véél simpeler.
Met mijn huidige bord: Zet de bewaarde of gedownloade BIOS-file op USB-flash, start het systeem opnieuw op met die USB-stick ingeplugd, toets de juiste toetscombinatie tijdens POST, en de BIOS flash utility start, waarna de BIOS-file gekozen kan worden en de flash wordt uitgevoerd.
Mits de BIOS-malware niet zo slim is die beschreven mogelijkheid te blokkeren...
In tegenstelling tot een harddisk die je aan een andere PC kunt hangen, kun je zo'n gesoldeerde flashchip (mogelijk zit dat geheugen in een zwart pizza-doosje-met-zeer-veel-pootjes geïntegreerd) niet even van je mobo afhalen en in een programmer grondig opfrissen...
In het geval van oudere BIOSen (waar het hier zo goed als zeker over gaat) heb je niets aan BIOS wachtwoorden. Zodra de PC van 16bit mode in 32 of 64 bit mode is overgeschakeld, wordt de BIOS niet meer gebruikt (die bestaat eigenlijk alleen nog maar om hardware te configureren voordat diezelfde BIOS op zoek gaat naar bootable schijven en bijbehorende (master-) bootsectors en daarna de zaak it handen geeft). Zodra je moderne OS draait, de gebruiker voldoende privileges heeft en het om een echte PC gaat (en niet een virtuele), kan die gebruiker (en de malware die zij eventueel start) de BIOS overschrijven.
Vandaar mijn 1e bijdrage, voorkomen is echt het devies hier.
Alternatief: moederbordfabrikanten ervan overtuigen dat ze weer een jumper socket op het moederbord solderen. Zodat je, om te kunnen flashen, eerst een jumper moet plaatsen. Maar ja, dat is weer niet helpdesk-vriendelijk.
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Brrr, griezelig.
Met nog enig geluk is de betreffende chip niet gesoldeerd maar los te halen, zodat de chip te vervangen is (door een identieke chip met het juiste BIOS erop uiteraard), maar veelal zal de chip wél gesoldeerd zijn, wat een complex probleem nóg moeilijker maakt. Ik weet niet hoe dat zit met de borden met een Award BIOS-chip.
Een jumper moeten (ver)plaatsen om te kunnen flashen lijkt me toch beslist een heel stuk gebruikers-vriendelijker dan de mogelijkheid geconfronteerd te kunnen worden met een verziekt en niet-reparabel BIOS. Maar misschien is dat wel helpdesk-vriendelijker, het niet hoeven uitleggen hoe een jumper gezet moet worden, maar volstaan te adviseren een nieuw bord te kopen?
Vandaar mijn 1e bijdrage, voorkomen is echt het devies hier.
Het beste is nog altijd om een schone kopie van het BIOS (kan ook een update zijn) te bewaren.
Bij een besmetting het nieuwe BIOS installeren.
De Rootkit moet dan ook verdwenen zijn.
Maar gezien wat Bitwiper om 15:57 uur aangaf, heb je met een schone BIOS-file achter de hand nog geen garantie dat je daarmee in geval van een infectie het BIOS zult kunnen herstellen. Bijzonder akelig...
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167)
Published: Tuesday, June 12, 2012, Version: 1.0
[...]
BIOS ROM Corruption Vulnerability - CVE-2012-1515
[...]
FAQ for BIOS ROM Corruption Vulnerability - CVE-2012-1515
What is the scope of the vulnerability?
This is an elevation of privilege vulnerability.
What causes the vulnerability?
The vulnerability is caused when Windows does not correctly protect BIOS ROM.
[...]
Aanvulling 20120613 08:27, het 2e comment in https://isc.sans.edu/diary/Microsoft+June+2012+Black+Tuesday+Update+-+Overview/13453 bevat ook een interessante waarneming:
A flaw in the way port-based I/O is handled allows for modifying Read-Only Memory that belongs to the Virtual DOS Machine. Exploitation of this issue may lead to privilege escalation on Guest Operating Systems that run Windows 2000, Windows XP 32-bit, Windows Server 2003 32-bit or Windows Server 2003 R2 32-bit.
Je kunt een schone firmware/flash gewoon terug zetten door de harde schijf en netwerk los te koppelen en gebruikt te maken van een ander OS (Linux LiveCD of good old DOS), waarmee je de boel terugzet. Daaarna harde schijf aan koppelen en compleet wissen of vol zetten met random bitjes.
Klaar is kees, alles weer zoals het was.
Toch?
Het schoonmaken van de harde schijven hoeft inderdaad het probleem niet te zijn.
Maar het betreft niet slechts Windows dat wordt geïnfecteerd, maar ook het BIOS.
En het flashen van het BIOS geeft jammer genoeg geen zekerheid dat je dat daarmee weer schoon krijgt.
Want zie wat Bitwiper aangaf:
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Zoals Bitwiper aangaf: voorkómen is het devies!
Ja en hoe doe je dat? ik heb bijvoobeeld alleen biosflash voor xp en win7 hoe laat je die draaien buiten OS? Kopieren naar usb kan niet want dan is je usb meteen besmet exe hernoemen naar doc kan ook niet want hij is meteen besmet bij download. Je download een zip die kan je alleen uitpakken in de OS of je moet werken van een niet besmete computer en niet besmette usb. of alles op CD zetten? Wie weet goede oplossing?
Je zou de schone BIOS-file extern schoon opgeslagen moeten hebben, of alsnog moeten downloaden via een schoon systeem.
Afhankelijk van de Flash-mogelijkheid van het betreffende BIOS (zie de handleiding van het moederbord) moet je de schone BIOS-file (gebruikmakend van een schoon systeem) op usb-stick zetten voor toepassing van een BIOS flash utility met toegang via POST, of mogelijk zelfs op floppy voor toepassing van een BIOS flash via DOS omgeving. (Nogmaals, zie de handleiding van het moederbord voor de mogelijkheden.)
Maar zelfs dan geldt wat hierboven al is aangegeven op zo.5-8, 13:00 uur:
Er bestaat bij een geïnfecteerd BIOS geen garantie dat je het BIOS kunt herstellen naar een schone staat.
Want zoals Bitwiper aangaf:
raad eens waar de routines zich bevinden die je nodig hebt om het flash geheugen (EEPROM) te overschrijven. Sterker, zodra je de PC aanzet draait er al code uit die chip. Als je die code niet kunt vertrouwen is het jouw PC niet meer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.