Onderzoekers omzeilen Intel Boot Guard-implementatie
Onderzoekers van securitybedrijf Embedi, die eerder dit jaar een ernstig beveiligingslek in de Management Engine (ME) van zakelijke Intel-processors openbaarden, hebben nu laten zien hoe ze de Intel Boot Guard-implementatie van allerlei computerfabrikanten kunnen omzeilen.
De Boot Guard is een beveiligingsmaatregel die het aanpassen van de unified extensible firmware interface (uefi), bijvoorbeeld door rootkits, moet voorkomen. Uefi is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Aanpassingen aan de uefi hebben dan ook grote gevolgen voor de veiligheid van het systeem. Om de uefi te beschermen zorgt Boot Guard voor een vertrouwde 'opstartketen'. Het eerste onderdeel in de keten, de zogeheten Root of Trust, is microcode binnen de Intel-processor. De processor laadt de Authenticated Code Module (ACM), waarna de uefi wordt geladen. Elke stap in dit proces wordt cryptografisch geverifieerd.
De Boot Guard-technologie is zo ontworpen dat die na de configuratie permanent is. Dit gebeurt door het flashen van de publieke sleutel van de uefi-handtekening in de field programmable fuses (FPF). Dit is geheugen dat tijdens het productieproces eenmalig door de fabrikant kan worden geprogrammeerd. De onderzoekers ontdekten dat sommige fabrikanten systemen produceren waar de Intel Boot Guard niet goed is ingesteld. De fuses bevinden zich in een niet gedefinieerde staat. Daardoor kan een aanvaller code in de uefi injecteren. Door vervolgens de Intel Boot Guard handmatig in te schakelen kan een aanvaller de kwaadaardige aanpassing van de uefi permanent maken.
Het probleem speelt bij moederborden die firmware draaien die op de AMI Aptio uefi zijn gebaseerd. Volgens Embedi is dit populaire firmware waar veel fabrikanten, zoals Asus, Acer, Dell en HP, gebruik van maken. "Het deel van de code waar we het over hebben kan dan ook in elk systeem worden gevonden dat sinds 2013 is geproduceerd met een uefi die op die code is gebaseerd", aldus de onderzoekers. Of er van de kwetsbaarheid misbruik kan worden gemaakt is afhankelijk of het systeem over aanvullende uefi-beveiliging beschikt. De onderzoekers merken echter op dat er veel systemen zijn die niet over een dergelijke beveiliging beschikken. Embedi waarschuwde Dell dat met firmware-updates kwam. Ook werd firmware-producent AMI ingelicht, maar volgens de onderzoekers werkt de patch die het bedrijf ontwikkelde niet naar behoren, aangezien het de check op Bootguard uitschakelt.
Als je eerlijk en "pro-actief" in je security bent, dan moet je concluderen dat alle systemen met intel ME en AMD PSP gewoon niet vertrouwenswaardig zijn. Dat dus ruim voordat er ook practische gaten in gevonden worden. Waarvan er nu ook verschillende gevonden zijn. Er zijn er bijvoorbeeld hier best een hoop die dat maar paranoïde gebrabbel van aluhoedjes vinden. Helaas pindakaas, zo werkt security. Nouja, zo hoort dat dus te werken.
Maargoed, je ziet dus dat je hier hetzelfde probleem hebt als bijvoorbeeld een (web)managed switch die door een stel knownots wordt neergezet zonder configuratie: Komt er iemand langs die wel weet hoe het werkt, dan kan hij een beheerswachtwoord instellen, sterker, sommige apparaten staan er op dat je dat doet bij eerste toegang. Het gebeurt dus regelmatig dat mensen zulke apparaten neerzetten en er nooit zelfs maar één keer een administratieve verbinding mee maken. De recovery daar is niet zo moeilijk: Factory reset en nu wel een wachtwoord instellen. De verloren config is geen gemis want die was toch standaard.
Alleen in bescheven situatie met de iME is dat equivalent een beetje schadelijker. Die fuses kun je maar één keertje zetten. En de keerzijde is ook niet leuk: Als de fabrikant de fuses zet, dan houdt hij in principe dus de sleutels tot het apparaat achter. En spullen kopen zonder dat je de sleutels erbij krijgt, in hoeverre is het dan jouw eigendom?
Hoe dan ook, voor mensen die dit wel snappen is de richtlijn dat alles van na 2009 (intel) of 2011 (AMD) een iME danwel PSP heeft en daarom niet vertrouwenswaardig. Dat is dus een grote stap achterwaards die beide fabrikanten gemaakt hebben. Er zijn wel alternatieven, maar ze zijn vooralsnog schaars en duur.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.