image

CERT/CC waarschuwt voor BIOS-lek in Intel chipsets

maandag 5 januari 2015, 16:31 door Redactie, 10 reacties

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft gewaarschuwd voor een lek in de chipsets van Intel waardoor het mogelijk is om het BIOS aan te passen, Secure Boot te omzeilen en de firmware van het moederbord zo te beschadigen dat het systeem niet meer zal werken. Daarnaast wordt er ook gewaarschuwd voor een kwetsbaarheid in verschillende UEFI-systemen. Beide lekken werden tijdens de recente CCC-conferentie in Hamburg gedemonstreerd.

Het eerste probleem (pdf) bevindt zich in de Intel chipsets die een bepaalde manier gebruiken om het BIOS (Basic Input/output System en de eerste belangrijke software die draait bij het opstarten van de computer) tegen schrijven te beschermen. Door de kwetsbaarheid is het mogelijk om deze beveiliging te omzeilen en toch aanpassingen door te voeren. Een lokale aanvaller met toegang tot het systeem kan vervolgens kwaadaardige code naar de firmware van de computer schrijven.

Daarnaast is het mogelijk als een bepaalde variabele is ingesteld, wat bij veel implementaties het geval is, om de Secure Boot beveiligingsmaatregel te omzeilen. Secure Boot is een feature die alleen software met een geldige digitale handtekening tijdens het opstarten laadt. Als laatste kan een aanvaller ook nog de firmware van de computer beschadigen, zodat die niet meer zal opstarten.

Het probleem speelt in ieder geval bij American Megatrends Incorporated (AMI) en Phoenix Technologies. Dit zijn fabrikanten van wie de BIOS/UEFI-software door een groot aantal computers wordt gebruikt. Of fabrikanten zoals Asus, Dell, HP, Intel, Sony en Toshiba kwetsbaar zijn is onbekend. Het CERT/CC heeft op dit moment nog geen concrete oplossing voor eigenaren van een kwetsbaar systeem.

UEFI

Naast het bovengenoemde probleem ontdekten onderzoekers Corey Kallenberg en Rafal Wojtczuk ook een kwetsbaarheid (pdf) in de UEFI-firmware van veel computers. UEFI is een nieuw model voor de interface tussen het besturingssysteem van de computer en de firmware van het platform. Het wordt op bijna alle moderne computers gebruikt. Een kwetsbaarheid in de UEFI-firmware zorgt ervoor dat een lokale aanvaller toegang tot het "boot script" kan krijgen om vervolgens de schrijfbeveiliging te omzeilen.

Hierna is het mogelijk om Secure Boot te omzeilen of de firmware van de computer aan te passen, ook al zou die alleen maar gesigneerde firmware moeten accepteren. Net als bij het probleem met de Intel chipsets kan ook nu de firmware worden beschadigd zodat de computer niet meer start. Dit probleem speelt in ieder geval bij AMI, Intel en Phoenix Technologies. Wederom wordt er geen concreet handelingsperspectief gegeven en wijst het CERT/CC naar informatie van de betreffende leveranciers.

Reacties (10)
05-01-2015, 16:42 door Eric-Jan H te D
Als er fysieke toegang is tot een computer, is alles mogelijk. Vraag maar aan de NSA.
05-01-2015, 16:50 door [Account Verwijderd]
Ik vraag me ook eea af bij die opmerking :

Een lokale aanvaller met toegang tot het systeem

Dat is toch hetzelfde als een nieuwe firmware vanaf USB installeren? Dan is ALLES mogelijk! Of zit ik helemaal fout?
05-01-2015, 17:10 door Anoniem
Tsja ... wie de bal heeft, kan 'm lek steken ..... om daarna nog wat andere open deuren te gaan intrappen ;)
05-01-2015, 17:37 door Anoniem
Geen enkel systeem met een BIOS kent Secure Boot. Dat is uitsluitend beschikbaar op systemen met een (U)EFI in plaats van een BIOS. Op een BIOS-machine Secure Boot omzeilen is dus niet zo moeilijk, want die is er domweg niet.

Is dat een fout van de vertaler of zijn de oorspronkelijke schrijvers echt zo onnozel? Dan vraag ik me serieus af wat de waarde van hun onderzoek is.
06-01-2015, 01:16 door Anoniem
Door NedFox: Dat is toch hetzelfde als een nieuwe firmware vanaf USB installeren? Dan is ALLES mogelijk! Of zit ik helemaal fout?
Nou, nieuwe firmware flashen (vanaf USB) doet de firmware en als alles gebeurt zoals het hoort dan kijkt die eerst of er wel een signatuur van de fabrikant op zit. Als die te omzeilen is dan is het *poef* met je "security".

Overigens is "secure boot" ook vooral een vehikel voor controle wiens OS er op de machine mag werken en heeft het met verdediging tegen derdepartij malware verrekte weinig te maken. Zoals we hier zien: Als je het echt wil is het aan alle kanten te omzeilen.
06-01-2015, 03:06 door Anoniem
Door Anoniem: Geen enkel systeem met een BIOS kent Secure Boot. Dat is uitsluitend beschikbaar op systemen met een (U)EFI in plaats van een BIOS. Op een BIOS-machine Secure Boot omzeilen is dus niet zo moeilijk, want die is er domweg niet.

Is dat een fout van de vertaler of zijn de oorspronkelijke schrijvers echt zo onnozel? Dan vraag ik me serieus af wat de waarde van hun onderzoek is.

Ik zou gokken op een fout in de vertaling en verduidelijking. De waarschuwing op www.kb.cert.org formuleert dit in ieder geval niet zo. Wil je het zeker weten, lees je best de documenten gelinkt in het artikel eens volledig door.
06-01-2015, 08:42 door dutchfish
Niet alleen was het bios gesneuveld (binnen de security context) bij sommige firmware makers, maar ook UEFI is inmiddels prooi geworden evenals zover mij bekend is dat inclusief secure boot. Ik kan het niet vaak genoeg zeggen, alle firmware moet open source worden; alleen al uit het oogpunt van veiligheid, controleerbaarheid en certificering.

A propos, vreemd dat niemand klaagt over rapid storage management ;)

Nog vreemder is dat je op heel cruciale plekken, deze zaken nog steeds tegenkomt, waar ze al lang niet meer thuis horen....
06-01-2015, 09:57 door Anoniem
Sessie met alle links http://events.ccc.de/congress/2014/Fahrplan/events/6129.html
Kijken of downloaden http://media.ccc.de/browse/congress/2014/31c3_-_6129_-_en_-_saal_2_-_201412282030_-_attacks_on_uefi_security_inspired_by_darth_venamis_s_misery_and_speed_racer_-_rafal_wojtczuk_-_corey_kallenberg.html#video of youtube http://youtu.be/ths65a9LH6Y
08-01-2015, 09:18 door Anoniem
"Een lokale aanvaller met toegang tot het systeem kan vervolgens kwaadaardige code naar de firmware van de computer schrijven."

"Als laatste kan een aanvaller ook nog de firmware van de computer beschadigen, zodat die niet meer zal opstarten."

Geen idee wat een lokale aanvaller nou zou willen bereiken door de firmware te beschadigen... Als je toch al fysiek toegang tot een machine hebt kun je toch net zo goed een glas water over het moederbord gooien?!?
11-01-2015, 15:25 door Anoniem
Mijn laptop van Asus werkt alleen in de bios en bij bootopties zie ik niets staan geen pc en geen cd of usb.. Heb ik nu last van dit virus? Ik heb ook al geprobeerd de default met f9 maar er gebeurt helemaal niets. De laptop is nog geen 2 jaar oud.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.