Windows computers via Firewire te hacken
Een beveiligingsonderzoeker heeft een tool beschikbaar gesteld waarmee iedereen toegang tot een met wachtwoord beveiligde Windows computer krijgt. De enige voorwaarden zijn wel dat de aanvaller fysiek toegang tot de machine heeft en dat die van een Firewire poort is voorzien. De rest is kinderspel. Hacker Adam Boileau demonstreerde de aanval al in 2006.
Destijds liet Oscar Bal van FoxIT al weten dat "de encryptiesleutel van de harde schijf zit ergens in het geheugen en dat is in theorie dus altijd te vinden." Om de "winlockpwn" tool te gebruiken moet een aanvaller zijn Linux laptop via Firewire op de te hacken machine aansluiten. Via de tool krijgt de aanvaller dan volledige toegang tot het geheugen van de andere computer, waarna de wachtwoord- bescherming van Windows wordt uitgeschakeld.
De onderzoeker besloot de tool twee jaar geleden niet te publiceren omdat Microsoft het probleem wilde onderzoeken. Die kwamen tot de conclusie dat het een feature en geen bug betrof. Daarnaast is het uitlezen van het geheugen zeer actueel, zoals onderzoekers laatst al aantoonden, en vond Boileau het zonde dat niemand de code gebruikte.
Zelf noemt de hacker zijn tool niet zo bijzonder, omdat een aanvaller die fysieke toegang heeft altijd het systeem weet te kraken. "Als het geen Firewire was geweest, dan had het je Cardbus of docking port kunnen zijn."
van FW te maken heeft en dat ieder systeem met een firewire
poort hier kwetsbaar voor is. (OSX in ieder geval, Linux nog
niet gezien.)
Gelukkig hebben de meeste servers geen FW poort, maar ik ga
eens kijken of ik wat poorten kan disablen...
En wat wil je daar nou weer mee zeggen, Struisvogeltje ?
De overheid kan dit vast al via USB ...
een feature van firewire. USB heeft zoiets niet en daardoor
zal de hacktool van de overheid (zoals door jouw
verondersteld aanwezig) toch op een iets andere manier te
werk moeten gaan waardoor het wellicht toch iets moeilijker is.
de PC, start dat perl script en dan haalt hij de screensaver van het scherm of
reset hij het password van de local admin account (of de local user die op dat
moment is aangelogd) ? Maar als dat een AD account is, dan lijkt me dat toch
niet te werken...?
Mooie hack dit, gelezen dat het met de direct memory access
van FW te maken heeft en dat ieder systeem met een firewire
poort hier kwetsbaar voor is. (OSX in ieder geval, Linux nog
niet gezien.)
Gelukkig hebben de meeste servers geen FW poort, maar ik ga
eens kijken of ik wat poorten kan disablen...
iemand fysiek toegang tot een systeem heeft. dan kun je van
alles gaan proberen te doen, maar links om of rechts om is
toegang tot het systeem dan onvermijdelijk.
1. negeren.
2. ontkennen
3. bagatelliseren ("het is geen bug maar een feature")
4. patch uitbrengen
Uit de presentatie van 2006:
With Firewire, I can read and write main memory...
• ...without the OS being involved...
• ...because that's how it's meant to work.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
