image

Cyberteek infecteert computer BIOS

vrijdag 24 mei 2013, 15:43 door Redactie, 1 reacties

Steeds meer computerfabrikanten zijn bezig om een nieuwe beveiligingsspecificatie voor de computer BIOS te implementeren, maar een groep onderzoekers heeft laten zien hoe ze de beveiliging met een cyberteek kunnen omzeilen. De BIOS (Basic Input/output System) is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware.

Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die draait bij het opstarten. De NIST 800-155 specificatie is ontwikkeld om het opstarten van de BIOS op computers en laptops veiliger te maken, maar volgens een trio onderzoekers van de MITRE Corporation wordt er teveel op toegangscontrolemechanismes vertrouwd.

En deze mechanismes zijn eenvoudig te omzeilen, zo lieten de onderzoekers tijdens de afgelopen NoSuchCon conferentie (PDF) zien. Ook tijdens de komende Black Hat USA conferentie zullen de onderzoekers hun werk demonstreren.

Zo zal er demonstratie-malware worden getoond die de Trusted Platform Module (TPM) chip van de computer zo kan misleiden dat die denkt dat de BIOS firmware schoon is, terwijl die in werkelijkheid besmet is. De TPM is bedoeld om het gehele opstartproces te monitoren en aanpassingen aan bijvoorbeeld de BIOS te detecteren. Op zo'n manier moet in theorie worden voorkomen dat de gebruiker een besmette computer start.

Code
"Het NIST document legt de nadruk op toegangscontrolemechanismen om de BIOS firmware te beschermen", zegt onderzoeker Corey Kallenberg tegenover DarkReading. De onderzoekers zijn echter van mening dat dit soort mechanismes altijd zullen falen. "Je moet ervan uitgaan dat een aanvaller een manier zal vinden om toegang tot je firmware te krijgen."

Op dit moment zijn TPM-chips afhankelijk van de code die op de BIOS-chip is opgeslagen om de waarde van het platform configuration register (PCR) te bepalen en naar de TPM-chip te sturen, als garantie dat de BIOS niet is aangepast. In veel gevallen zal de PCR-waarde veranderen als de BIOS is aangepast, wat de vertrouwensketen met de TPM breekt.

De MITRE-onderzoekers hebben een manier gevonden om de BIOS flash, waarmee de BIOS firmware is te updaten, te gebruiken om de BIOS te overschrijven en de PCR-waarde te vervalsen, zodat de TPM-chip denkt dat BIOS zich nog steeds in de oorspronkelijke staat bevindt.

Cyberteek
De eerste malware die de onderzoekers introduceren heet de 'teek' en wordt omschreven als verborgen malware die in de firmware leeft en in staat is om de PCR-waarde aan te passen. Naast deze cyberteek demonstreren de onderzoekers ook de 'vlo', omdat deze malware van de ene naar de andere BIOS revisie kan springen.

De teek kan worden verwijderd door het updaten of upgraden van de BIOS, maar de vlo heeft door wanneer dit gebeurt en kan zichzelf klonen en aan de BIOS-update toevoegen.

Vertrouwen
Volgens de onderzoekers laten de twee malware-exemplaren zien waarom de hardware-industrie niet alleen op de TPM-chip kan vertrouwen om de computer te laten vertellen dat de BIOS schoon is en dat het flashen (updaten) van de BIOS niet per definitie betekent dat het malware probleem ook is opgelost.

De onderzoekers hebben inmiddels ook een techniek ontwikkeld om de BIOS tegen dit soort aanvallen te beschermen, die hardwarefabrikanten gratis kunnen toepassen.

Reacties (1)
24-05-2013, 21:30 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.