Tijdens Hack in the Box Amsterdam zullen twee Franse onderzoekers twee aanvallen op Windows demonstreren, die lastig door Microsoft zijn te repareren. De eerste aanval die Christophe Devine en Damien Aumaitre laten zien, werd vorig jaar al op Windows XP uitgevoerd. De Fransen hebben de aanval zo aangepast, dat die op Windows 7 64-bit werkt. Devine en Aumaitre gebruiken een PCMCIA-kaart, waarvan de FPGA zo is geprogrammeerd, dat die via DMA het volledige fysieke geheugen scant en de locale wachtwoord verificatie patcht. Daardoor kan een aanvaller door het invoeren van elk willekeurig wachtwoord toegang krijgen.

PatchGuard
De tweede aanval die de Fransen tijdens Hack in the Box demonstreren is nog nooit eerder vertoond. "En is complexer dan een bruteforce scan van het geheugen", aldus Devine tijdens een interview met Security.nl. "We injecteren een first-stage shellcode door de layout van het virtuele geheugen te reconstrueren, dan kapen we de specifieke functie in de Windows 7 64-bit kernel", zegt Devine.

Deze shellcode alloceert het vereiste geheugen om een kernel-mode rootkit op te slaan. "Omdat onze driver niet gesigneerd is, emuleren we alle vereiste stappen die normaal door de kernel gedaan worden, zoals het reloceren en importeren." Het resultaat is dat de twee Franse hackers elke willekeurige kwaadaardige code binnen de kernel kunnen laden. Daarbij omzeilen ze de PatchGuard beveiliging van het besturingssysteem en de verificatie van driver signatures.

Fysiek
Voor beide aanvallen hebben aanvallers fysieke toegang tot het systeem nodig. Daarnaast moet er ook ruimte zijn om een PCMCIA-kaart of ExpressCard in te voeren, terwijl de laptop aan staat. Een volledige versleutelde schijf, bijvoorbeeld met TrueCrypt, biedt geen bescherming tegen de aanvallen. "Maar het blijft een goede bescherming tegen offline aanvallen", merkt Devine op. Hij wijst echter ook naar onderzoek van Joanna Rutkowska. De Poolse demonstreerde dat full disk encryption is te omzeilen, doordat er geen verificatie van de bootloader plaatsvindt. "De beste verdediging in dit geval is een full disk encryption toe te passen die TPM ondersteunt, zoals BitLocker."

Microsoft
Microsoft heeft het lek inmiddels in onderzoek en moet nog bepalen hoe ernstig is. "Het is mogelijk om er tegen te beschermen via de laatste IOMMY extensies van moderne processoren, maar het vereist grote aanpassingen aan de kernel." Devine acht het mogelijk dat Microsoft geen hoge prioriteit aan de kwetsbaarheid toekent, omdat het zeer specifieke en dure hardware vereist, en ook low-level kennis van van PCI transacties en de Windows 7 kernel. "In de praktijk zijn er eenvoudigere aanvallen om hetzelfde effect te bereiken, zoals het aanpassen van de Master Boot Record, die ook bij Windows 7 werken."

In afwachting op een mogelijke patch kunnen eindgebruikers zich beschermen door alle PCMCIA/ExpressCard drivers in de Device Manager uit te schakelen. De Franse onderzoekers adviseren ook om alle FireWire drivers uit te schakelen. Daardoor heeft het inbrengen van een PCMCIA-kaart geen effect meer.

Linux
De aanval werkt op alle moderne besturingssystemen die geen hardwarematige IOMMU extensies gebruiken. Recente versies van de Linux-kernel kunnen IOMMU extensies activeren, maar de onderzoekers hebben niet uitgezocht of ook Linux kwetsbaar is. Devine maakt nogmaals duidelijk dat het om een vrij complexe aanval gaat, die vooral bedoeld is om een laptop in zeer korte tijd te hacken. "Bijvoorbeeld op een trein of vliegveld." Daarnaast vereist het ook geen herstart van het besturingssysteem. "Het is dus een stuk stiekemer dan het aanpassen van de MBR."

Ondanks het probleem blijft Devine gewoon nog Windows XP en Debian gebruiken. "Ik gebruik Windows 7 alleen voor het spelen van spelletjes. Desondanks heeft Microsoft goed werk geleverd met de beveiliging van Windows Vista / 7 en is het in verhouding tot Windows XP een superieur alternatief."

Hack in the Box Amsterdam vindt plaats op donderdag 1 en vrijdag 2 juli. Ga voor kaarten en meer informatie naar deze pagina.