Firmware-rootkit binnen 4 minuten op laptop geïnstalleerd
Een aanvaller die fysieke toegang tot een laptop heeft kan snel en eenvoudig een firmware-rootkit installeren, zo heeft een onderzoeker van securitybedrijf Eclypsium aangetoond. In slechts vier minuten weet de onderzoeker de laptop open te maken en de firmware via een klein apparaatje te flashen.
Firmware zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een aanvaller met fysieke toegang kan hiervoor een "hardware programmer" gebruiken en zo de firmware aanpassen. "Hoewel het lijkt alsof het speciale apparatuur en gedetailleerde kennis vereist, is het in de meeste gevallen vrij eenvoudig", aldus het securitybedrijf.
De meeste firmware bevindt zich op een Serial Programmable Interface (SPI) flashchip die via eenvoudig verkrijgbare SPI flash programmers zijn uit te lezen en aan te passen. Een aanvaller moet wel weten wat hij in de firmware moet aanpassen om toegang te krijgen, zonder dat het systeem niet meer werkt. Een andere onderzoeker heeft eerder al een generieke backdoor gedemonstreerd die in de meeste firmware is te installeren. "Je zou kunnen zeggen dat de eenvoud en beschikbaarheid van deze tools en technieken firmware-rootkits voor niet-experts toegankelijk maken", zo stelt het securitybedrijf, dat zelfs de term "scriptkiddiemateriaal" gebruikt.
Er zijn verschillende manieren om de firmware van een computer aan te passen. Eclypsium ontdekte onlangs nog een kwetsbaarheid in Intel-processors die het mogelijk maakt om via de usb-debugtoegang persistente rootkits in de UEFI-firmware en SMM-firmware te installeren. Een aanvaller met fysieke toegang tot het apparaat kan zo een "Evil Maid" aanval uitvoeren zonder dat de laptop moet worden opengemaakt. "Via publiek beschikbare tools die eenvoudig op de usb-poort zijn aan te sluiten kan een aanvaller persistente rootkits installeren en zo secure boot en andere beveiligingsmaatregelen omzeilen", zo waarschuwt het securitybedrijf.
De belangrijkste bescherming tegen dergelijke aanvallen is om volledige fysieke controle over het apparaat te houden. Dit kan echter lastig zijn. Zelfs wanneer een aanvaller korte tijd toegang tot een systeem heeft kan er een aanval worden uitgevoerd. Verder kunnen debugfuncties in de firmware worden uitgeschakeld. In andere gevallen kan het nodig zijn om de leverancier te benaderen en te vragen om een firmware-versie waar de debugtoegang staat uitgeschakeld.
Op zich is het punt wel duidelijk: Zo'n aanval vereist fysieke toegang en kost dus de tijd die het kost om een flash uit te voeren plus de tijd die het kost de machine voldoende uitelkaar te halen om te kunnen flashen en daarna weer inelkaar te zetten.
Dat zal per laptop verschillen en kost enige oefening. Je zal dus ook kennis van het doelwit moeten hebben, en een specifieke aangepaste firmware, en zo verder. En oh ja, ook nog de tijd om 'm naar je lab te brengen danwel je impromptu werkruimte voldoende op te zetten. Je wil dit niet, bijvoorbeeld, in een volle treincoupe proberen want dan raak je gegarandeerd schroefjes kwijt.
Practische reproduceerbaarheid is dus niet een algemeen "vier minuten".
Overigens wisten we al dat dit soort dingen gewoon gebeuren: De NSA heeft routinematig allerlei firmwares in routers en switches aangepast. Post onderscheppen, reflash, verder sturen. Dat kost ook relatief weinig tijd als het eenmaal opgezet is. En als je zo'n firmware kan aanpassen, dan kan je ook een laptopfirmware aanpassen.
Heeft je reactie eigenlijk iets te maken met het artikel ?
Waarom zou een boete bugvrije software opleveren ? En als er een boete staat op bugs, zouden Linux developers dan uitgezonderd zijn - of moeten worden ? Hoe goed ze ook zijn - er zitten en zaten bugs in de kernel en in de bootloaders.
Misschien minder dan bij closed source software, misschien sneller opgelost, maar geen _nul_ bugs.
En als er open hardware is - maakt dat Coreboot perfect bugvrij ? En sterker - de hoofdzaak van het artikel was het fysiek aanpassen van software - je denkt toch niet dat dat met open hardware en open software niet kan ?
Zal echt veel helpen. En open source soft- of hardware is ook te manipuleren (en nee, er doen niet iedere dag talloze vrijwilligers een code review bij je, om te verifieren dat alles nog correct is) ;)
Wat een zinloos artikel.
Dan heb je het juist niet begrepen want dit is één van de manieren om in een versleutelde laptop te komen. Google maar eens Evil Maid attack.
Niet als ze je BIOS-chip flashen of vervangen.
Heel interessant.
Kun je de naam van een dergelijk BIOS checksum utility noemen, voor als toepassing onder een draaiend Linux systeem?
Heel interessant.
Kun je de naam van een dergelijk BIOS checksum utility noemen, voor als toepassing onder een draaiend Linux systeem?
Zie bv https://unix.stackexchange.com/questions/126132/how-to-dump-bios-data-to-a-file
en https://stackoverflow.com/questions/43275677/how-to-access-bios-rom-binary-from-linux-shell
Je hebt veel privileges nodig om zo direct geheugen te lezen (in nieuwere kernels kan ook root dit niet vanuit userspace :
https://www.flashrom.org/FAQ )
De bios file kun je dan gewoon checksummen met md5, sha2 , whatever .
Mij lijkt het draaien van dit soort low-level tools een veel groter risico voor de stabiliteit van het systeem dan het risico dat iemand je bios gemanipuleerd heeft . Het valt ook te hopen dat je hier pas aan begint als je de 'gewone' risico's perfect onder controle hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.