Microsoft: fysieke toegang is volledige toegang
Vorige week werd wederom duidelijk dat fysieke toegang tot een computer vaak volledige toegang betekent. Microsoft loste een ernstig beveiligingslek op om Windows-computers te infecteren. Het aansluiten van een USB-stick was voldoende om een computer volledig over te nemen. Het probleem werd veroorzaakt door de manier waarop Windows USB descriptors uitleest.
Dit is een datastructuur waarin informatie over het USB-apparaat staat. Zelfs als de computer vergrendeld was of de gebruiker niet ingelogd, was het voldoende om een USB-stick met een geprepareerde USB-descriptor aan te sluiten en zo software op de machine met kernelrechten uit te voeren.
Moker
Volgens Microsoft's Dustin Childs laat dit zien dat de derde wet van IT Security nog steeds geldt, namelijk dat als een aanvaller onbeperkte fysieke toegang tot je computer heeft, het niet meer je computer is. "Deze wet is nog steeds van kracht. Er is geen update voor een letterlijke denial-of-service-aanval met een moker."
Microsoft zou echter wel het verschil tussen gewone fysieke toegang en onbeperkte fysieke toegang hebben ontdekt. Childs wijst naar het vorige week gepatchte lek. In tegenstelling tot bijvoorbeeld het lek dat Stuxnet gebruikte of standaard Autorun-wormen, hoeft in dit geval de gebruiker niet ingelogd te zijn.
Schoonmaker
"Daarom kan iemand met gewone fysieke toegang, bijvoorbeeld een schoonmaker die het kantoor schoonmaakt of je een bewaker die zijn ronde doet, eenvoudig een USB-apparaat kunnen inpluggen en willekeurige acties als systeembeheerder kunnen uitvoeren." Dit is volgens Childs een verschil met onbeperkte fysieke toegang, waar iemand via vaak andere methoden gegevens kan proberen te stelen.
Daarbij benadrukt Childs dat bedrijven en gebruikers het probleem niet moeten afdoen als minder bedreigend omdat er fysieke toegang is vereist.
"Gewone fysieke toegang gecombineerd met het uitvoeren van code met kernelrechten is een voldoende belangrijke dreiging dat we een update hebben uitgebracht om het probleem op te lossen."
Oplossing
In een aanvullende webcast over de patchdinsdag van maart laat Childs weten dat het uitschakelen van Autorun geen bescherming tegen dit lek biedt.
Ook het uitschakelen van USB-apparaten via de Windows Group policy biedt geen bescherming, aangezien het probleem zich voordoet voordat ingestelde Group policies van kracht worden.
De beste oplossing is dan ook het installeren van de update, hoewel software van derden waarbij specifieke RNDIS drivers worden uitgeschakeld misbruik ook kan voorkomen.
soort aanvallen ("door de schoonmaker of de bewaker"), maar dan moet de computer wel uitgeschakeld zijn bij het
eind van de werkdag.
Volgens Microsoft's Dustin Childs laat dit zien dat de derde wet van IT Security nog steeds geldt, namelijk dat als een aanvaller onbeperkte fysieke toegang tot je computer heeft, het niet meer je computer is. "Deze wet is nog steeds van kracht. Er is geen update voor een letterlijke denial-of-service-aanval met een moker."
Van eindgebruikers kan, redelijkerwijs, niet worden verwacht dat zij voorzien dat firmware in een randapparaat, zonder enige vorm van toestemming, SYSTEM rechten kan krijgen op een PC zodra dat randapparaat wordt aangesloten (temeer omdat doorsnee gebruikers geen mogelijkheid heeft om vooraf vast te stellen dat het om een gemanipuleerd device gaat). Als dat wel kan is sprake van een ordinair beveiligingslek dat gewoon gepatched moet worden.
Dit is alleen maar een marketing poging om het niet automatisch distribueren van de patch goed te praten. Triest.
Erik
Dit is alleen maar een marketing poging om het niet automatisch distribueren van de patch goed te praten. Triest.
Erik
Wat bedoel je? Deze update wordt WEL automatisch gedistribueerd.
Maar je hebt altijd mensen die hun updates niet bijhouden, daar gaat het om.
Erik
Maar je hebt altijd mensen die hun updates niet bijhouden, daar gaat het om.
Nb. het zou kunnen dat Microsoft de patch ondertussen wel automatisch uitrolt, aanvankelijk was dat echter absoluut niet het geval. Als iemand constateert dat KB2807986 nu wel automatisch wordt uitgerold, lees ik dat graag hieronder!
PS als de bestanddatum van usb8023.sys op je PC (onder XP in C:\WINDOWS\system32\drivers\) ouder is dan 2013, is de patch niet geïnstalleerd (zie ook http://support.microsoft.com/kb/2807986).
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.