Patch beschermt bepaalde USB-sticks tegen BadUSB-aanval
Onderzoekers die recentelijk lieten zien hoe de firmware van USB-sticks kan worden aangepast om computers aan te vallen en een deel van de benodigde code hiervoor vrijgaven, hebben nu ook een patch gepubliceerd om bepaalde USB-sticks tegen dit soort aanvallen te beschermen.
Adam Caudill en Brandon Wilson demonstreerden tijdens de DerbyCon conferentie verschillende aanvallen waarbij een ogenschijnlijk onschuldige USB-stick werd ingezet. De onderzoekers hadden de microcontroller van de USB-stick geherprogrammeerd, zodat die gebruikt kan worden om computers aan te vallen. Zo is het mogelijk om een USB-stick zich als een keyboard voor te laten doen, die vervolgens allerlei opdrachten van de aanvaller op de computer uitvoert.
Om te voorkomen dat een aanvaller een USB-stick eenvoudig kan herprogrammeren heeft Caudill een patch ontwikkeld die de "boot mode" van de USB-stick uitschakelt, zo laat Caudill via Twitter weten. Op deze manier zou het niet meer softwarematig mogelijk zijn om de firmware van de USB-stick aan te passen. De code werkt alleen voor USB-sticks met USB 3.0 die de laatste firmware van Phison gebruiken.
De onderzoeker waarschuwt wel dat een aanvaller de patch ongedaan kan maken als hij fysieke toegang tot de USB-stick heeft. Het kortsluiten van twee pinnetjes maakt het updaten van de firmware namelijk weer mogelijk. Caudill adviseert gebruikers dan ook om epoxyhars te gebruiken, zodat de pinnetjes niet meer toegankelijk zijn en de firmware nooit meer kan worden geüpdatet.
Het probleem blijft altijd dat je niet weet wat voor USB-ding je in de poort steekt. Het ziet er uit als een USB-stick, maar uiteindelijk doet het zich nog altijd voor als toetsenbord, etc. Die patch per USB-stick helpt niets. Het enige dat die patch dus doet is het moeilijker maken om een bestaande USB-stick te herprogrammeren.
Gesigneerde firmware bied uiteindelijk wel een uitkomst, omdat dan de aangepaste firmware helemaal niet meer ondersteund wordt. Je kunt wel al je oude USB-sticks en andere op USB gebaseerde randapparatuur weggooien omdat ze allemaal firmware hebben die niet gesigneerd is.
Het lost dus niet alle badUSB problemen op, maar het is al een stap vooruit als je kan voorkomen dat jouw stick "bad" wordt. Dat is alweer 1 zorg minder.
De onderzoeker heeft helemaal geen patch tegen BADUSB, dat is technisch gezien ook helemaal niet mogelijk.
Er is hooguit een methode gepubliceerd die het voor sommige USB-sticks lastiger (NIET onmogelijk) maakt om daar een BADUSB van te maken.
Een wezenlijk verschil, me dunkt.
Mvg een diep teleurgestelde lezer.
Bij deze maar eens een keer uit 'de la gevist'. *
• Keyboard activatie Zoekfunctie uitschakelen :
Ga naar System Preferences > (linker menu kies) Spotlight > (rechtsboven kies) Keyboard Shortcuts > vink "Show Spotlight search field" en Show Spotlight window" af.
• Ter eigen beoordeling :
Ga naar System Preferences > (linker menu kies) Keyboard & Text input > (rechtsboven kies) Keyboard Shortcuts > vink de velden af waarvan je denkt dat daarvan nog misbruik kan worden gemaakt door een automatisch toetsenboard command.
• Al jaren een aanrader :
Uitschakelen van extra scripting mogelijkheden via het disabelen van
"Assistive Devices"
onder de "Universal Access" voorkeuren.
Check de "Universal Access" voorkeursettings af en toe, het kan voorkomen dat deze veranderd zijn en de "Assistive Devices" weer actief is geworden !
Algemene aantekening : Onder de diverse Os X en kan de indeling van de systeem voorkeuren zijn veranderd
Mavericks bijvoorbeeld waar ik in deze beschrijving niet vanuit ben gegaan. Kijk / zoek er zelf naar.
Wat betreft De Universal Access functie, deze is onder Mavericks echt anders georganiseerd, zie hier http://www.macosxautomation.com/mavericks/guiscripting/
* Inzicht gekregen naar aanleiding van een beschreven Poc van een (oude) iMac webcam hack met beschreven escape mogelijkheid uit een virtual machine met gebruik van een 'dergelijk voordoen als virtueel toetsenboard met programma opdracht commands'.
Met het uitschakelen van de keyboard activatie van de zoekfunctie werkt die aanval niet meer. Denk ik ;-)
Hoe zou het inmiddels met de BadBios onderzoeksvorderingen staan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
