CERT/CC waarschuwt voor BIOS-lek in Intel chipsets
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft gewaarschuwd voor een lek in de chipsets van Intel waardoor het mogelijk is om het BIOS aan te passen, Secure Boot te omzeilen en de firmware van het moederbord zo te beschadigen dat het systeem niet meer zal werken. Daarnaast wordt er ook gewaarschuwd voor een kwetsbaarheid in verschillende UEFI-systemen. Beide lekken werden tijdens de recente CCC-conferentie in Hamburg gedemonstreerd.
Het eerste probleem (pdf) bevindt zich in de Intel chipsets die een bepaalde manier gebruiken om het BIOS (Basic Input/output System en de eerste belangrijke software die draait bij het opstarten van de computer) tegen schrijven te beschermen. Door de kwetsbaarheid is het mogelijk om deze beveiliging te omzeilen en toch aanpassingen door te voeren. Een lokale aanvaller met toegang tot het systeem kan vervolgens kwaadaardige code naar de firmware van de computer schrijven.
Daarnaast is het mogelijk als een bepaalde variabele is ingesteld, wat bij veel implementaties het geval is, om de Secure Boot beveiligingsmaatregel te omzeilen. Secure Boot is een feature die alleen software met een geldige digitale handtekening tijdens het opstarten laadt. Als laatste kan een aanvaller ook nog de firmware van de computer beschadigen, zodat die niet meer zal opstarten.
Het probleem speelt in ieder geval bij American Megatrends Incorporated (AMI) en Phoenix Technologies. Dit zijn fabrikanten van wie de BIOS/UEFI-software door een groot aantal computers wordt gebruikt. Of fabrikanten zoals Asus, Dell, HP, Intel, Sony en Toshiba kwetsbaar zijn is onbekend. Het CERT/CC heeft op dit moment nog geen concrete oplossing voor eigenaren van een kwetsbaar systeem.
UEFI
Naast het bovengenoemde probleem ontdekten onderzoekers Corey Kallenberg en Rafal Wojtczuk ook een kwetsbaarheid (pdf) in de UEFI-firmware van veel computers. UEFI is een nieuw model voor de interface tussen het besturingssysteem van de computer en de firmware van het platform. Het wordt op bijna alle moderne computers gebruikt. Een kwetsbaarheid in de UEFI-firmware zorgt ervoor dat een lokale aanvaller toegang tot het "boot script" kan krijgen om vervolgens de schrijfbeveiliging te omzeilen.
Hierna is het mogelijk om Secure Boot te omzeilen of de firmware van de computer aan te passen, ook al zou die alleen maar gesigneerde firmware moeten accepteren. Net als bij het probleem met de Intel chipsets kan ook nu de firmware worden beschadigd zodat de computer niet meer start. Dit probleem speelt in ieder geval bij AMI, Intel en Phoenix Technologies. Wederom wordt er geen concreet handelingsperspectief gegeven en wijst het CERT/CC naar informatie van de betreffende leveranciers.
Een lokale aanvaller met toegang tot het systeem
Dat is toch hetzelfde als een nieuwe firmware vanaf USB installeren? Dan is ALLES mogelijk! Of zit ik helemaal fout?
Is dat een fout van de vertaler of zijn de oorspronkelijke schrijvers echt zo onnozel? Dan vraag ik me serieus af wat de waarde van hun onderzoek is.
Overigens is "secure boot" ook vooral een vehikel voor controle wiens OS er op de machine mag werken en heeft het met verdediging tegen derdepartij malware verrekte weinig te maken. Zoals we hier zien: Als je het echt wil is het aan alle kanten te omzeilen.
Is dat een fout van de vertaler of zijn de oorspronkelijke schrijvers echt zo onnozel? Dan vraag ik me serieus af wat de waarde van hun onderzoek is.
Ik zou gokken op een fout in de vertaling en verduidelijking. De waarschuwing op www.kb.cert.org formuleert dit in ieder geval niet zo. Wil je het zeker weten, lees je best de documenten gelinkt in het artikel eens volledig door.
A propos, vreemd dat niemand klaagt over rapid storage management ;)
Nog vreemder is dat je op heel cruciale plekken, deze zaken nog steeds tegenkomt, waar ze al lang niet meer thuis horen....
Kijken of downloaden http://media.ccc.de/browse/congress/2014/31c3_-_6129_-_en_-_saal_2_-_201412282030_-_attacks_on_uefi_security_inspired_by_darth_venamis_s_misery_and_speed_racer_-_rafal_wojtczuk_-_corey_kallenberg.html#video of youtube http://youtu.be/ths65a9LH6Y
"Als laatste kan een aanvaller ook nog de firmware van de computer beschadigen, zodat die niet meer zal opstarten."
Geen idee wat een lokale aanvaller nou zou willen bereiken door de firmware te beschadigen... Als je toch al fysiek toegang tot een machine hebt kun je toch net zo goed een glas water over het moederbord gooien?!?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.