image

Versleutelde data op Verbatim ssd-schijf via beveiligingslek te achterhalen

woensdag 12 oktober 2022, 16:44 door Redactie, 2 reacties

Onderzoekers hebben in een draagbare ssd-schijf van Verbatim verschillende kwetsbaarheden ontdekt, waardoor het mogelijk is voor een aanvaller om versleutelde data op het apparaat te achterhalen. Voor twee van de vier gevonden beveiligingslekken heeft Verbatim in juli een update uitgebracht. In het beveiligingsbulletin staan deze kwetsbaarheden echter niet specifiek vermeld.

De Verbatim Store 'n' Go Secure Portable SSD is een draagbare usb-schijf met hardwarematige AES 256-bit encryptie en een ingebouwde keypad voor het invoeren van een passcode. Bij twintig mislukte inlogpogingen zou de ssd-schijf moeten worden vergrendeld en geformatteerd. De beveiligingsmaatregel blijkt echter niet naar behoren te werken. Na twintig mislukte inlogpogingen wordt de schijf namelijk niet gewist. Daardoor kan een aanvaller meer inlogpogingen doen (CVE-2022-28386) dan bedoeld.

Verder vond onderzoeker Matthias Deeg van het Duitse securitybedrijf SySS dat de ssd-schijf door een "onveilig ontwerp" kwetsbaar is voor een offline bruteforce-aanval, waardoor het mogelijk is om ongeautoriseerde toegang tot de versleutelde data te krijgen (CVE-2022-28384). Dit impact van dit lek is als 'high' bestempeld en door Verbatim verholpen.

Daarnaast kan een aanvaller met fysieke toegang tot de ssd-schijf malafide firmware uploaden waardoor er altijd een AES-key van de aanvaller wordt gebruikt voor het versleutelen van de data. Deze kwetsbaarheid is voor "interdiction" te misbruiken, waarbij een apparaat onderweg naar de beoogde gebruiker door bijvoorbeeld een inlichtingendienst wordt onderschept en aangepast. Voor dit probleem (CVE-2022-28383) kwam Verbatim niet met een oplossing.

Verder maakte Verbatim gebruik van een onveilige AES-mode voor de versleuteling. Daardoor zou een aanvaller, door het observeren van bepaalde patronen, informatie aan de hand van de versleutelde data kunnen achterhalen. Voor deze kwetsbaarheid (CVE-2022-28386) is Verbatim wel met een update gekomen.

Reacties (2)
13-10-2022, 06:36 door Anoniem
Ik heb voor de grap de update gedownload, de zip-file uitgepakt en de handleiding bekeken. Zoals je zou verwachten met het herstellen van een verkeerde AES-mode maakt de update alle data op de schijf ontoegankelijk. Het is noodzakelijk eerst een backup te maken en die later weer terug te zetten. Ook de schijfpartities gaan verloren, de handleiding legt uit hoe je de ssd opnieuw moet partitioneren.

Bij een model dat niet met een pin maar met een vingerafdruk werkt moet een tweede programma gedraaid worden om de pincode en vingerafdruk opnieuw in te stellen. Dat staat op de net geïnitialiseerde schijf en initialiseert hem opnieuw. Hoewel de update-handleiding alleen een beschrijving voor Windows bevat blijkt de ISO-file die in de upgrade zit ook een MacOS-versie te bevatten.

Dat laatste laat zien dat Verbatim inderdaad, zoals het op de productpagina's beweert, Windows en Mac ondersteunt. Voor update-tool zelf zie ik echter alleen een versie voor Windows staan.

Dit alles wekt bij mij de indruk dat Verbatim niet erg grondig te werk gaat. Men heeft zich duidelijk onvoldoende in cryptografie en aanvalsvectoren verdiept bij het ontwikkelen van deze ssd's, gezien de fouten die erin zitten. Het ontbreken van een update-tool voor Mac doet vermoeden dat ze niet al bij het lanceren van deze producten rekening hielden met de mogelijkheid dat dit soort updates nodig zouden zijn, dan hadden ze de code ervoor namelijk al van te voren kunnen ontwikkelen. Daar moet dan nog de nieuwe firmware-image aan toe worden gevoegd en worden gezorgd dat de juiste waarschuwingen worden getoond - in dit geval dat de update de inhoud van de schijf vernietigt en dat een backup maken noodzakelijk is (die waarschuwing wordt door de Windows-versie getoond). Maar alles eromheen kan je makkelijk al klaar hebben staan als je vooraf bedenkt dat je het geheid een keer nodig gaat hebben en dat je dan opeens haast hebt. Dan was de Mac-versie van de update-tool er nu ook geweest.
13-10-2022, 10:50 door Anoniem
Als je het hem zelf wil horen vertellen, Matthias Deeg heeft 2 weken terug op BruCon een presentatie over dit onderzoek gegeven en het staat op youtube:
https://www.youtube.com/watch?v=1Em5XMCuQGM
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.