Nieuws

Rootkit omzeilt Windows 8 Secure Boot

vrijdag 18 november 2011, 09:42 door Redactie, 8 reacties

Een Oostenrijkse beveiligingsonderzoeker heeft een rootkit ontwikkeld die de Secure Boot functie van Windows 8 kan omzeilen. De functie was juist door Microsoft ontwikkeld om infecties door rootkits te voorkomen. De nieuwste versie van de Stoned bootkit is gemaakt door Peter Kleissner, en is in staat om de pre-boot controle van het besturingssysteem te omzeilen.

De Stoned bootkit is een rootkit die vanaf de master boot record van de harde schijf wordt geladen en tijdens het opstartproces in het geheugen actief blijft. De vorige versie werkte op alle Windows-versies sinds XP en is nog altijd vanaf Kleissner zijn website te downloaden. De nieuwste versie werkt echter op Windows 8, zo laat Kleissner op Twitter weten.

Secure Boot
Daar merkt hij verder op dat de aanval niet tegen UEFI of Secure Boot is gericht, maar de legacy BIOS aanvalt. Windows 8 vervangt de conventionele BIOS door de Unified Extensible Firmware Interface (UEFI). Daardoor wordt elk onderdeel tijdens het opstarten gecontroleerd en zouden rootkits geen kans meer krijgen. Volgens de Free Software Foundation zou de functie ervoor zorgen dat gebruikers geen Linux op systemen meer kunnen installeren.

UAC
Details over de nieuwste bootkit onthult de onderzoeker tijdens MalCon 2011. Hij geeft daar een presentatie genaamd "Windows 8 Bootkit and Art of Bootkit development". De nieuwste aanval omzeilt ook de User Account Controle in Windows 8 in combinatie met een administrator-account. "UAC op Windows (standaard instelling) op Windows 8 met admin-account is nutteloos."

Microsoft heeft het onderzoek van Kleissner al ontvangen, inclusief suggesties om het probleem op te lossen. De onderzoeker werkte twee jaar voor een anti-virusbedrijf en ontwikkelde de AV-Tracker.

Hackers vernietigen waterpomp van nutsbedrijf

NASA-hacker McKinnon kan VS toch vermijden

Reacties (8)

18-11-2011, 11:32 door Anoniem

Heeft Microsoft nog mooi de tijd om de bug op te lossen

18-11-2011, 11:48 door [Account Verwijderd]

[Verwijderd]

18-11-2011, 14:34 door Rene V

Door Peter V: De link van de downloadplaats wordt aangemerkt als verdacht.

SiteAdvisor van McAfee slaat in dit geval alarm wegens een browser-exploit.

WOT (Web of Trust addon voor FF) ook in dit geval.

18-11-2011, 15:01 door Anoniem

SecureBoot wordt pas ondersteund door moederborden die beschikken over UEFI versie nr xxxx (ik herinner me
het juiste nummer niet). Er is nog geen enkel moederbord geproduceerd met het vereiste versienummer (zo las
ik vandaag in een computertijdschrift (ik dacht C't))

Als er nog geen hardware bestaat waarop SecureBoot kan uitgevoerd worden, hoe kan een root- of bootkit dit dan
al omzeilen ?

Hij zal dit gewoon getest hebben een van de bestaande moederborden met een gewoon bios of een ouder UEFI-
versienummer met Windows 8 geïnstalleerd.

18-11-2011, 15:52 door Anoniem

Ach iedereen mag vrij bepalen wat hij of zij op zijn computer installeerd.
Dus het efi gebeuren vind echt geen doorgang dat je alleen maar windows op je systeem kan gebruiken,en geen Linux of anderzijds meer kan gebruiken.
Ik heb op mijn Laptop ook al uefi,en gebruik er Fedora 16 op,terwijl ik het ding met Windows 7 geleverd kreeg.
Alles werkt gewoon als een tierelier bij mij.

19-11-2011, 09:16 door Anoniem

Het link naar AV-Tracker. wordt door mij antivirus (avast!) als malicious gedetecteerd.

19-11-2011, 14:15 door Bitwiper

UEFI vind ik prima zolang er een (fysieke) jumper op het moederbord zit waarmee dit kan worden uitgeschakeld. Evil-maid achtige attacks daargelaten is dat veilig genoeg voor de mensen die geen bezwaar hebben tegen vendor-lock in; alle andere gebruikers hoeven hier er dan geen last van te hebben.

21-11-2011, 23:07 door Anoniem

Wat een sensatiezoekerij zeg :') . Ten eerste is een Boot-CD of USB stick en daarmee fysieke toegang tot de machine nodig om überhaupt dat kreng op je bak te krijgen, en het is ook nog eens afhankelijk van de aanwezigheid van een ouderwets BIOS als PC Firmware, omdat het zich in de MBR nestelt. Eventjes het bitje bij de BIOS-optie "disable MBR boot sector overwrite" zetten en die bootkit maakt geen schijn van kans.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer