image

Valse Windows CHKDSK steelt wachtwoorden

dinsdag 25 september 2012, 13:45 door Redactie, 3 reacties

Een onderzoeker heeft een variant op de beruchte Evil Maid-aanval bedacht, die zich als een nepversie van de Windows CHKDSK-tool voordoet om zo het Windows-wachtwoord te stelen. CHKDSK is een programma dat naar fouten op de harde schijf zoekt en standaard onderdeel van Windows is. De Evil Maid keylogger werd eind 2009 ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska en is bedoeld om de passphrase van een met TrueCrypt-versleutelde computer te stelen.

In het scenario is er een kwaadaardig kamermeisje dat Evil Maid op een USB-stick heeft staan. Ze start de laptop van het slachtoffer op vanaf de USB-stick. Vervolgens wordt de Evil Maid keylogger in de bootloader geinstalleerd. Het kamermeisje verlaat de kamer en wacht totdat het slachtoffer terugkomt.

Die start zijn laptop op en vult de passphrase in, die vervolgens door Evil Maid wordt opgeslagen. Zodra het slachtoffer de laptop verlaat, komt het kamermeisje weer terug en start de computer vanaf de USB-stick. Die leest vervolgens de opgeslagen passphrase uit zodat de aanvaller toegang tot het versleutelde systeem heeft.

CHKDSK
Beveiligingsonderzoeker Alex Web ontwikkelde een Evil Maid CHKDSK. Een 512-byte klein MBR-programma dat zich als Windows CHKDSK voordoet. Een aanvaller stopt een USB-stick met de valse CHKDSK in een computer en wacht totdat het slachtoffer de machine aanzet. De Evil Maid CHKDSK toont een melding op het scherm dat er iets mis met de harde schijf is en er een controle wordt uitgevoerd.

Daarna vraagt de tool de gebruiker om het wachtwoord, schrijft het wachtwoord naar de media waarvan is gestart, zorgt ervoor dat de media vervolgens niet is op te starten en laadt vervolgens Windows.

Web merkt op dat de Windows de gebruiker vraagt om de schijf te formatteren als die wordt aangesloten, of wanneer de gebruiker voor het eerst inlogt nadat het wachtwoord is opgeslagen. "Ik denk niet dat het als een serieuze tool te beschouwen valt voordat dit is opgelost." De onderzoeker zou echter elke byte van de Master Boot Record (MBR) hebben gebruikt. "De volgende versie zal waarschijnlijk geen 512 bytes zijn." Hieronder een videodemonstratie.

Reacties (3)
25-09-2012, 16:14 door Rubbertje
In het scenario is er een kwaadaardig kamermeisje dat Evil Maid op een USB-stick heeft staan. Ze start de laptop van het slachtoffer op vanaf de USB-stick.
Dan moet het slachtoffer zijn/haar pc niet vergrendeld hebben met een password. Of zie ik iets over het hoofd?
25-09-2012, 18:23 door Anoniem
@Bastos dat is als je de BIOS vergrendeld hebt.
TrueCrypt is een bootloader, die naderhand opstart. Daar is deze aanval op gericht.

Veel mensen zien TrueCrypt als ultieme beveiliging, dus zullen waarschijnlijk alleen de TrueCrypt bootloader gebruiken.
Het is ook gebruiksvriendelijker aangezien je niet 2 maal een passphrase hoeft in te voeren.
25-09-2012, 19:59 door sjonniev
Door Bastos:
In het scenario is er een kwaadaardig kamermeisje dat Evil Maid op een USB-stick heeft staan. Ze start de laptop van het slachtoffer op vanaf de USB-stick.
Dan moet het slachtoffer zijn/haar pc niet vergrendeld hebben met een password. Of zie ik iets over het hoofd?

Het maakt niet uit. Het bootwachtwoord staat op de stick. Als de laptop op schermbeveiliging staat kan ze er een firewire of pccard of thunderbolt apparaat instoppen om de screensaver uit te schakelen of het geheugen uit te lezen, ze kan ook de laptop domweg uitzetten. De boot-passphrase heeft ze dan al, dus opnieuw starten zal geen probleem zijn (tenzij het uitzetten het file system voldoende aan gort geholpen heeft). Het helpt wel (een beetje) als je je na het booten met een passphrase niet automatisch laat aanmelden aan Windows.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.