image

Microsoft waarschuwt voor nieuwe dreiging van USB-sticks

woensdag 3 september 2014, 11:22 door Redactie, 16 reacties

Microsoft heeft zowel thuisgebruikers als bedrijven en organisaties gewaarschuwd voor de nieuwe dreiging die van USB-sticks uitgaat. De softwaregigant wijst daarbij naar onderzoek van Kasten Nohl en Jakob Lell, die tijdens de recente Black Hat conferentie in Las Vegas hun BadUSB-aanval lieten zien.

De onderzoekers waren erin geslaagd om de firmware van verschillende USB-sticks, de software die de communicatie met de computer verzorgt, te herprogrammeren. Zo is het mogelijk om in de firmware malware te verstoppen die de computer infecteert zodra de USB-stick wordt aangesloten. Ook zijn allerlei andere aanvallen mogelijk. De onderzoekers deden verschillende aanbevelingen om het probleem aan te pakken, maar dit ligt voornamelijk bij de fabrikanten.

Gevolgen

De directe gevolgen voor thuisgebruikers zullen op de korte termijn meevallen, zo stelt Geoff McDonal van het Microsoft Malware Protection Center. Het kan zijn dat sommige USB-apparaten op de lange termijn moeten worden weggegooid als ze het doelwit van BadUSB-achtige malware worden en er geen update van fabrikanten beschikbaar is.

De gevolgen voor organisaties en bedrijven die USB-sticks gebruiken is een stuk groter. Volgens McDonald is het belangrijk dat er naar een USB-model wordt overgestapt waarbij de apparaten over niet beschrijfbare firmware beschikken en dat de firmware-updates digitaal gesigneerd zijn.

Controle

Met name bedrijven die met zeer gevoelige gegevens werken zouden het firmware-updateproces moeten controleren voor alle USB-apparaten die op dit moment worden gebruikt of aangeschaft. Afhankelijk van de gegevens waar de organisatie mee werkt moet er ook rekening worden gehouden met het land van de fabrikant en het distributiekanaal.

Daarnaast moet zakelijke beveiligingssoftware investeren in het beschermen van computers tegen USB-apparaten. Verder kunnen hardwarematige USB-hubs worden ingezet die alleen bepaalde type USB-apparaten toestaan en het aanpassen van de firmware voorkomen. "Vergelijkbaar met een traditionele netwerkfirewall", aldus McDonald. "De zakelijke beveiliging rond USB-apparaten gaat op de schop. Het proces is mogelijk pijnlijk maar noodzakelijk."

Reacties (16)
03-09-2014, 11:26 door Anoniem
Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.
03-09-2014, 11:35 door [Account Verwijderd]
[Verwijderd]
03-09-2014, 13:36 door Anoniem
De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.
03-09-2014, 14:09 door Anoniem
Door Anoniem: De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.
Daar is onze foutvrije programmeur / designer / softwarearchitect weer. Leer ons eens hoe jij software maakt?
03-09-2014, 15:29 door Anoniem
Door Anoniem:
Door Anoniem: De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.
Daar is onze foutvrije programmeur / designer / softwarearchitect weer. Leer ons eens hoe jij software maakt?

Op http://alexandria.tue.nl/extra1/dictaten/wiski/732177.pdf is nog een dictaat programmeren te downloaden van de meest beroemde IT´er uit NL, namelijk Edsger Dijkstra, zie bijvoorbeeld http://pantheon.media.mit.edu/rankings/people/all/all/-3000/1950/25 :-)
03-09-2014, 15:41 door Killjoy
Door Anoniem: De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.
Onderbouwen, je kan het.
03-09-2014, 16:42 door Anoniem
Door Anoniem: Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.
&
Door Anoniem: De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.
Hieruit blijkt maar weer dat de meeste mensen geen flauw idee hebben van wat USB eigenlijk is.
In tegenstelling tot de meeste andere draagbare media heeft USB extra (hardwarematige) verbindingslagen zonder gestandaardiseerde drivers.

De firmware voor een USB-device staat niet op het systeem, maar op het USB-device zelf en die wordt hardwarematig geladen, ongeacht het soort systeem / OS (pc / tablet / smartphone / etc.).
Het OS (AV) heeft alleen invloed op de application-layer en dan is het al te laat, want de driver is dan dus al geladen.

En de dreiging? Tsja, vroegâh was het voorbehouden aan serieuze partijen die nucleaire installaties onschadelijk wilden maken, toen kwamen er gele bad-eendjes en nu wordt het dus voor nóg meer mensen bereikbaar. Slechte zaak :(

De enige oplossing is het toepassen van hardware_classes (whitelisten) en het opzetten van strikte group policies. Beide zijn een serieuze uitdaging op veel OS / apparatuur, wat daarbij voor de meeste soort systemen natuurlijk ook een dramatische vermindering van functionaliteit betekent, en zelfs dat is geen 100% garantie omdat alle USB-apparatuur door de fabrikant / leverancier zou kunnen zijn beïnvloed (alu hoedje on/off).
Het wachten blijft dan ook op een andere architectuur voor USB, al betwijfel ik of dat met het huidige hardware-model mogelijk / praktisch / haalbaar is.
03-09-2014, 16:54 door Eric-Jan H te D
En hoe zit het dan met firmware van netwerkkaarten, cardreaders, harde schijven, grafische kaarten etc etc.
03-09-2014, 17:19 door Anoniem
Door Anoniem: De dreiging van het gebruik van Microsoft Software is vele malen groter dan de dreiging van USB-sticks.

Al jaren gebruik ik Macintosh software, maar ik vind deze opmerking passend bij het IQ niveau van een zoetwater weekdier.
03-09-2014, 19:53 door Anoniem
Door Anoniem: Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.

De Anti-virus pakketten scannen de bestanden *op* zo'n stick, niet de firmware van de stick. En dat is waar deze waarschuwing over gaat...
03-09-2014, 20:05 door Anoniem
Door Anoniem: Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.

Volgens mij grijpt de virus scanner nog niet in wanneer de usb voor het eerts in de pc gestoken wordt en deze vervolgens de "driver" gaat laden om de data te enaderen. Dat stuk zit i de firmware. Daarna komt je Anti virus pas aan de beurt om de inhoud van de nu toegankelijke data te scannen. En a ti virus is niet zalig makend, zeker niet als bv bekend is welke AV je gebruikt om dan zodanig aan te passen dat deze het niet ziet.y
03-09-2014, 21:05 door W. Spu - Bijgewerkt: 03-09-2014, 21:05
Door Anoniem: Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.
Anti virus programma's scannen alleen het bestandssysteem en niet de firmware omdat ze daar niet bij kunnen. Daarnaast gaat het niet alleen om een USB sticks maar om USB devices in het algemeen dus ook bijvoorbeeld een USB toetsenbord.
04-09-2014, 09:32 door Anoniem
Sorry, maar dit soort aanvallen zijn toch niet nieuw? Op Hack in The Box werd dit in 2013 al gepresenteerd.
Bekende problemen:
- DMA aanvallen via USB
- BIOS aanvallen in de boot sequence
- Fuzzing op kwetsbare drivers
- Nog veeeel meer
04-09-2014, 11:20 door Preddie
Door Eric-Jan H te A: En hoe zit het dan met firmware van netwerkkaarten, cardreaders, harde schijven, grafische kaarten etc etc.

Euh, die worden vaak maar in één machine gebruikt. Het is een terecht risico, maar de kans dat je er door besmet raakt is velen malen kleiner als een USB-stick die van PC naar PC gaat...

Een USB stick is een beetje als een tandborstel waar de hele straat gebruik van maakt.... het is wachten tot je een keer wat oploopt....

Door Anoniem: Er zijn volgens mij genoeg Anti virus programma's die meteen de USB stick gaan scannen , op het moment dat je de USB stick er in steekt. Zorg er dus gewoon voor dat je een goed / up-to-date anti virus programma hebt draaien.

Gast.... wordt wakker.... het bestandsysteem van een USB stick is pas uit te lezen als driver is geïnstalleerd is en dit kan worden gedaan vanuit de firmware.... een conventionele anti-virus scanner kan dus niet het apparaat scannen voor dat het het apparaat kan lezen en dan is het kwaad al geschied ;)
04-09-2014, 14:55 door Anoniem
Door Predjuh: [...]
Gast.... wordt wakker.... het bestandsysteem van een USB stick is pas uit te lezen als driver is geïnstalleerd is en dit kan worden gedaan vanuit de firmware.... een conventionele anti-virus scanner kan dus niet het apparaat scannen voor dat het het apparaat kan lezen en dan is het kwaad al geschied ;)

Dan maak je toch een virusscanner voor drivers?
05-09-2014, 13:03 door Anoniem
Door Anoniem:
De firmware voor een USB-device staat niet op het systeem, maar op het USB-device zelf en die wordt hardwarematig geladen, ongeacht het soort systeem / OS (pc / tablet / smartphone / etc.).
Het OS (AV) heeft alleen invloed op de application-layer en dan is het al te laat, want de driver is dan dus al geladen.

Er kan wel firmware op een USB device staan maar deze is alleen voor de processor die op het USB device zelf zit
dus niet voor het systeem waar je die in steekt. De drivers voor de communicatie met het USB device worden wel
degelijk door de OS leverancier geleverd of ze staan apart ter installatie op een virtuele CD die het USB device levert,
en waar je de installer zelf van moet opstarten. Dat zal op een fatsoenlijk geinstalleerd systeem niet automatisch
gebeuren en zal verboden zijn als je geen beheer rechten hebt of kunt krijgen.

Het is dus niet zo dat er ongedetecteerd drivers van een USB device op het host systeem geladen worden en daar
uitgevoerd. Wel kan een geherprogrammeerd device "grappige dingen" doen zoals zich voordoen als een keyboard
en dan dingen gaan intypen. Het effect daarvan beperkt zich bij een fatsoenlijk systeem tot de huidige gebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.