image

MacOS-lek maakte diefstal FileVault-wachtwoord mogelijk

vrijdag 16 december 2016, 09:42 door Redactie, 5 reacties

Een beveiligingslek in macOS maakte het voor een aanvaller met fysieke toegang mogelijk om het FileVault-encryptiewachtwoord te stelen. FileVault is de technologie die Apple gebruikt voor het versleutelen van harde schijven. De Zweedse beveiligingsonderzoeker Ulf Frisk ontdekte het lek.

Via het aansluiten van een 300 dollar kostend Thunderbolt-apparaat op een vergrendelde of slapende Mac, kon het wachtwoord worden achterhaald. Via dit wachtwoord kan de Mac worden ontgrendeld en alle bestanden worden benaderd. Volgens Frisk speelden er twee problemen. Het eerste probleem is dat Mac geen bescherming bood tegen Direct Memory Access (DMA)-aanvallen voordat macOS was gestart.

De EFI-firmware, die dan al wel is gestart, zorgt ervoor dat Thunderbolt is ingeschakeld en geeft kwaadaardige apparaten de mogelijkheid om het geheugen uit te lezen en hiernaar toe te schrijven. Op dit moment is macOS nog niet gestart. Het besturingssysteem staat op de door FileVault versleutelde harde schijf die moet worden ontsleuteld voor het kan worden gestart. Zodra macOS is gestart zal de DMA-bescherming standaard actief worden. Het tweede probleem is dat het FileVault-wachtwoord in platte tekst in het geheugen staat opgeslagen en het niet automatisch wordt verwijderd wanneer de schijf is ontgrendeld.

Een aanvaller met fysieke toegang hoeft alleen de Thunderbolt-hardware aan te sluiten en de Mac te herstarten. Zodra de Mac is herstart vervalt de DMA-beveiliging. De inhoud van het geheugen, alsmede het wachtwoord, zijn echter nog steeds aanwezig en kunnen worden uitgelezen. Frisk waarschuwde Apple op 15 augustus van dit jaar voor het probleem. Een dag later bevestigde Apple het probleem en vroeg om de bekendmaking van de kwetsbaarheid uit te stellen. Op 13 december verscheen macOS 10.12.2 waarin het beveiligingslek is gepatcht. "Het is niet langer mogelijk om het geheugen te benaderen voordat macOS is gestart. De Mac is één van de veiligste platformen met betrekking tot deze specifieke aanvalsvector", besluit Frisk.

Image

Reacties (5)
16-12-2016, 09:51 door Anoniem
10 jaar geleden was dat foefje met vuurdraad (FireWire) al bekend voor M$ - BIOS keyboard buffer uitlezen. Laatste wat daar in stond was het password, want daarna kwam het OS op en dat deed keyboard handling rechtstreeks.

Beetje jammer dat Apple 10 jaar later met iets soortgelijk op z'n m**l gaat.
Noem het maar een 'veilig platform'...
16-12-2016, 12:00 door Anoniem
*Gaap* Dus een klassieke DMA aanval over TB. Jongens, de enige echte solide bescherming is om je apparaten niet in slaapstand te zetten, maar cold shutdown of in hibernate (of hoe hibernate ook heet onder MacOS). De SSDs in Macs zijn snel genoeg, totaal overbodig om voor die paar seconden verschil nog steeds slaapstand i.p.v. hibernate te gebruiken.
16-12-2016, 15:46 door Anoniem
December 13th: Apple released macOS 10.12.2 which contains the security update. At least for some hardware - like my MacBook Air.

Een gepatcht lek dus, alleen voor het relatief nieuwe MacOS Sierra 10.12 .
Naast Sierra worden ook El Capitan en Yosemite nog supported.
Ook voor deze systemen was er een security update maar als deze niet genoemd worden kunnen we ervan uit gaat dat het een ongelukkige slipper was voor de nieuwste versie van MacOS.

Want de onderzoeker had zijn werk grondig gedaan
Password recovery have been tested and found to work on multiple macbooks and macbook airs (all with Thunderbolt 2). The attack is not tested on more recent macs with USB-C.
Alhoewel er verder geen OS versies worden genoemd.
Tja, hoe zit het dan?
Alles gepatcht maar niet vermeld?

Irritant toch dit soort half nieuws, AV bedrijven laten ook vaak essentiële info weg.
Tip, encrypt alleen informatie die dat echt nodig heeft (de encryptie discussie is a bit overrated) en sla passwords niet op, dan kunnen ze ook niet lekken.
17-12-2016, 09:42 door Anoniem
macOS heeft al jaren een instelling om het filevault wachtwoord te vergeten na een bepaalde tijd in sleep mode. Alleen spijtig dat dat standaard niet aan staat.
19-12-2016, 16:46 door Anoniem
Door Anoniem: macOS heeft al jaren een instelling om het filevault wachtwoord te vergeten na een bepaalde tijd in sleep mode. Alleen spijtig dat dat standaard niet aan staat.

Vertel?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.