Nieuws

Computers met nieuwe Intel-processor via usb 3.0 aan te vallen

woensdag 18 januari 2017, 17:15 door Redactie, 7 reacties

Onderzoekers hebben een methode ontdekt om systemen met nieuwe Intel-processoren via usb 3.0 aan te vallen zonder dat beveiligingstools dit kunnen detecteren. Standaard zijn computers echter niet kwetsbaar voor deze aanval, aldus Intel en onderzoekers van het Positive Research Center.

De onderzoekers ontdekten dat bij nieuwe Intel-processoren de debugging-interface via de usb 3.0-poort toegankelijk is. Deze debugging-interface is bedoeld om problemen met het systeem te vinden, maar kan ook door aanvallers worden misbruikt. "Een aanvaller kan dit mechanisme als een backdoor gebruiken en alle beveiligingssystemen omzeilen", aldus de onderzoekers. Zo is het via de debugging-interface mogelijk om code toe te voegen, gegevens te lezen en de machine onbruikbaar te maken.

Om de aanval te laten slagen moet de DCI-interface op de computer staan ingeschakeld. Iets wat standaard niet het geval is. Aanvallers zouden in theorie deze DCI-interface wel kunnen inschakelen, bijvoorbeeld via een kwaadaardige bios-update of via het gebruik van een P2SB-apparaat. De onderzoekers schetsen een scenario waarbij een organisatie computers of laptops bestelt en deze bestelling door een aanvaller wordt onderschept. De aanvaller schakelt de DCI-interface in. Vervolgens kan een insider binnen de organisatie met fysieke toegang tot de apparaten via een usb-apparaat toegang tot de systemen krijgen.

Intel laat in een reactie weten dat de DCI-interface standaard staat uitgeschakeld en alleen met goedkeuring van de gebruiker via een bios-aanpassing kan worden ingeschakeld. "Fysieke toegang tot en controle over het systeem is vereist om DCI in te schakelen", aldus de chipgigant. Zelfs wanneer de DCI-interface is ingeschakeld is het gebruik van de debugging-interface volgens Intel niet mogelijk zonder proprietary sleutels die via een licentie bij Intel moeten worden verkregen. De onderzoekers presenteerden hun onderzoek onlangs tijdens het Chaos Communication Congress in Hamburg. Hieronder een demonstratie van de aanval.

Stilletjes geïnstalleerde Adobe Acrobat-extensie bevat lek

Amerikaanse overheid waarschuwt voor mogelijk smb-lek

Reacties (7)

18-01-2017, 17:34 door Anoniem

Een woord voor "BACKDOOR"...
Je hoeft geen aluminiumfolie rol gegeten te hebben voor ontbijt om te zien dat het echt nergens meer naartoe gaat met die spionage drift van de VS.

18-01-2017, 17:38 door Anoniem

Privé heb ik daar geen enkel probleem mee, al is er weet ik veel wat voor mogelijkheid mijn PC af te tappen door er bij te staan en hem aan te zetten. Want dat betekent inbraak en dan heb ik heel andere problemen dan mijn PC (waarop geen wachtwoorden te vinden zijn en alle belangrijke documenten versleuteld zijn).

Maar voor bedrijven ligt dat heel anders. Waar is de tijd gebleven dat je op een bedrijfs-PC helemaal geen 'floppy-drive' mocht hebben, zodat er ook niets van buitenaf geïnstalleerd kon worden? Nu kan Jan en alleman maar vanalles op die dingen ondernemen en eraan verpesten. Tenzij systeembeheer echte (policy) maatregelen heeft genomen, maar dat komt naar mijn idee maar zelden voor. En is dankzij de Microsoft opvattingen ingeval van Windows 10 alleen nog mogelijk in de Enterprise versie, die lang niet elke (kleinere) werkgever zich kan veroorloven.

18-01-2017, 22:34 door karma4

Door Anoniem: .....
Maar voor bedrijven ligt dat heel anders. Waar is de tijd gebleven dat je op een bedrijfs-PC helemaal geen 'floppy-drive' mocht hebben, zodat er ook niets van buitenaf geïnstalleerd kon worden? Nu kan Jan en alleman maar vanalles op die dingen ondernemen en eraan verpesten. Tenzij systeembeheer echte (policy) maatregelen heeft genomen, maar dat komt naar mijn idee maar zelden voor. ....

De eerste pc's hadden op zijn best een floppy drive 160k modem een uitzondering. Pad later werd het als een risico gezien.
Bij de professionele inrichtingen enterprise gaat het hele installatie inclusief usb gewoon op slot. Voor alle externe opslag verplichte encryptie. Desktopbeheer is big business. Alleen voor de kleine toeleveranciers die enkel een thuisinstallatie beheersen Is dat anders.

19-01-2017, 01:05 door [Account Verwijderd]

Door karma4:

Karma, for the love of God, kun je voor je iets verzendt een paar keer lezen wat je schrijft? Misschien wordt na een paar correcties eea beter leesbaar voor ons.

OT : Kleine bedrijven hebben niet echt wat te vrezen, het zijn de grotere organisaties die geen budget hebben (vrij maken) voor fatsoenlijk ICT (neem scholen en ziekenhuizen bijvoorbeeld) die kwetsbaar zijn.
Kleinere organisaties werken meestal met een fijne ICT-Boer-Om-de-Hoek en zullen niet echt een target zijn. Maar als je een Europees contract hebt met Dell als ziekenhuis wordt het wél iets anders.

19-01-2017, 07:51 door karma4

Probeer ik nedfox. Onderweg smartphone autocorrecties het blijft behelpen. En dan sla ik de helft van de woorden en leestekens ook nog eens over.

Je nuancering: risico impact kleine bedrijven is uitstekend. Eveneens het beperkte budget en tekortkoming visie bij bepaalde organisaties. Daar begrijpen we elkaar.

19-01-2017, 10:43 door Anoniem

Lol dat los je zo op. Ik heb persoonlijk een product ingezet bij een van de grootste dataverwerkers (inclusief beheer van policies en groepen)

Daarbij als je toegang tot de hardware krijgt kun je uberhaupt alles.

19-01-2017, 13:09 door Anoniem

Laat het even duidelijk zijn dat dit geen bacdoor is, maar een legitieme debugging tool, die waarschijnlijk relatief gemakkelijk te mitigeren is door de BIOS af te schermen en gebruikers geen local admin te geven.
Ja, met fysieke toegang kan een BIOS alsnog gereset en geflashed worden, maar dit kost relatief veel tijd. Dit maakt de aanval een even groot (of zelfs kleiner) risico dan een netwerk tap, rubber ducky, keylogger etc.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Computers met nieuwe Intel-processor via usb 3.0 aan te vallen

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren