Microsoft: fysieke toegang is volledige toegang
Vorige week werd wederom duidelijk dat fysieke toegang tot een computer vaak volledige toegang betekent. Microsoft loste een ernstig beveiligingslek op om Windows-computers te infecteren. Het aansluiten van een USB-stick was voldoende om een computer volledig over te nemen. Het probleem werd veroorzaakt door de manier waarop Windows USB descriptors uitleest.
Dit is een datastructuur waarin informatie over het USB-apparaat staat. Zelfs als de computer vergrendeld was of de gebruiker niet ingelogd, was het voldoende om een USB-stick met een geprepareerde USB-descriptor aan te sluiten en zo software op de machine met kernelrechten uit te voeren.
Moker
Volgens Microsoft's Dustin Childs laat dit zien dat de derde wet van IT Security nog steeds geldt, namelijk dat als een aanvaller onbeperkte fysieke toegang tot je computer heeft, het niet meer je computer is. "Deze wet is nog steeds van kracht. Er is geen update voor een letterlijke denial-of-service-aanval met een moker."
Microsoft zou echter wel het verschil tussen gewone fysieke toegang en onbeperkte fysieke toegang hebben ontdekt. Childs wijst naar het vorige week gepatchte lek. In tegenstelling tot bijvoorbeeld het lek dat Stuxnet gebruikte of standaard Autorun-wormen, hoeft in dit geval de gebruiker niet ingelogd te zijn.
Schoonmaker
"Daarom kan iemand met gewone fysieke toegang, bijvoorbeeld een schoonmaker die het kantoor schoonmaakt of je een bewaker die zijn ronde doet, eenvoudig een USB-apparaat kunnen inpluggen en willekeurige acties als systeembeheerder kunnen uitvoeren." Dit is volgens Childs een verschil met onbeperkte fysieke toegang, waar iemand via vaak andere methoden gegevens kan proberen te stelen.
Daarbij benadrukt Childs dat bedrijven en gebruikers het probleem niet moeten afdoen als minder bedreigend omdat er fysieke toegang is vereist.
"Gewone fysieke toegang gecombineerd met het uitvoeren van code met kernelrechten is een voldoende belangrijke dreiging dat we een update hebben uitgebracht om het probleem op te lossen."
Oplossing
In een aanvullende webcast over de patchdinsdag van maart laat Childs weten dat het uitschakelen van Autorun geen bescherming tegen dit lek biedt.
Ook het uitschakelen van USB-apparaten via de Windows Group policy biedt geen bescherming, aangezien het probleem zich voordoet voordat ingestelde Group policies van kracht worden.
De beste oplossing is dan ook het installeren van de update, hoewel software van derden waarbij specifieke RNDIS drivers worden uitgeschakeld misbruik ook kan voorkomen.
soort aanvallen ("door de schoonmaker of de bewaker"), maar dan moet de computer wel uitgeschakeld zijn bij het
eind van de werkdag.
Volgens Microsoft's Dustin Childs laat dit zien dat de derde wet van IT Security nog steeds geldt, namelijk dat als een aanvaller onbeperkte fysieke toegang tot je computer heeft, het niet meer je computer is. "Deze wet is nog steeds van kracht. Er is geen update voor een letterlijke denial-of-service-aanval met een moker."
Van eindgebruikers kan, redelijkerwijs, niet worden verwacht dat zij voorzien dat firmware in een randapparaat, zonder enige vorm van toestemming, SYSTEM rechten kan krijgen op een PC zodra dat randapparaat wordt aangesloten (temeer omdat doorsnee gebruikers geen mogelijkheid heeft om vooraf vast te stellen dat het om een gemanipuleerd device gaat). Als dat wel kan is sprake van een ordinair beveiligingslek dat gewoon gepatched moet worden.
Dit is alleen maar een marketing poging om het niet automatisch distribueren van de patch goed te praten. Triest.
Erik
Dit is alleen maar een marketing poging om het niet automatisch distribueren van de patch goed te praten. Triest.
Erik
Wat bedoel je? Deze update wordt WEL automatisch gedistribueerd.
Maar je hebt altijd mensen die hun updates niet bijhouden, daar gaat het om.
Erik
Maar je hebt altijd mensen die hun updates niet bijhouden, daar gaat het om.
Nb. het zou kunnen dat Microsoft de patch ondertussen wel automatisch uitrolt, aanvankelijk was dat echter absoluut niet het geval. Als iemand constateert dat KB2807986 nu wel automatisch wordt uitgerold, lees ik dat graag hieronder!
PS als de bestanddatum van usb8023.sys op je PC (onder XP in C:\WINDOWS\system32\drivers\) ouder is dan 2013, is de patch niet geïnstalleerd (zie ook http://support.microsoft.com/kb/2807986).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
