MacOS-lek maakte diefstal FileVault-wachtwoord mogelijk
Een beveiligingslek in macOS maakte het voor een aanvaller met fysieke toegang mogelijk om het FileVault-encryptiewachtwoord te stelen. FileVault is de technologie die Apple gebruikt voor het versleutelen van harde schijven. De Zweedse beveiligingsonderzoeker Ulf Frisk ontdekte het lek.
Via het aansluiten van een 300 dollar kostend Thunderbolt-apparaat op een vergrendelde of slapende Mac, kon het wachtwoord worden achterhaald. Via dit wachtwoord kan de Mac worden ontgrendeld en alle bestanden worden benaderd. Volgens Frisk speelden er twee problemen. Het eerste probleem is dat Mac geen bescherming bood tegen Direct Memory Access (DMA)-aanvallen voordat macOS was gestart.
De EFI-firmware, die dan al wel is gestart, zorgt ervoor dat Thunderbolt is ingeschakeld en geeft kwaadaardige apparaten de mogelijkheid om het geheugen uit te lezen en hiernaar toe te schrijven. Op dit moment is macOS nog niet gestart. Het besturingssysteem staat op de door FileVault versleutelde harde schijf die moet worden ontsleuteld voor het kan worden gestart. Zodra macOS is gestart zal de DMA-bescherming standaard actief worden. Het tweede probleem is dat het FileVault-wachtwoord in platte tekst in het geheugen staat opgeslagen en het niet automatisch wordt verwijderd wanneer de schijf is ontgrendeld.
Een aanvaller met fysieke toegang hoeft alleen de Thunderbolt-hardware aan te sluiten en de Mac te herstarten. Zodra de Mac is herstart vervalt de DMA-beveiliging. De inhoud van het geheugen, alsmede het wachtwoord, zijn echter nog steeds aanwezig en kunnen worden uitgelezen. Frisk waarschuwde Apple op 15 augustus van dit jaar voor het probleem. Een dag later bevestigde Apple het probleem en vroeg om de bekendmaking van de kwetsbaarheid uit te stellen. Op 13 december verscheen macOS 10.12.2 waarin het beveiligingslek is gepatcht. "Het is niet langer mogelijk om het geheugen te benaderen voordat macOS is gestart. De Mac is één van de veiligste platformen met betrekking tot deze specifieke aanvalsvector", besluit Frisk.
Beetje jammer dat Apple 10 jaar later met iets soortgelijk op z'n m**l gaat.
Noem het maar een 'veilig platform'...
Een gepatcht lek dus, alleen voor het relatief nieuwe MacOS Sierra 10.12 .
Naast Sierra worden ook El Capitan en Yosemite nog supported.
Ook voor deze systemen was er een security update maar als deze niet genoemd worden kunnen we ervan uit gaat dat het een ongelukkige slipper was voor de nieuwste versie van MacOS.
Want de onderzoeker had zijn werk grondig gedaan
Password recovery have been tested and found to work on multiple macbooks and macbook airs (all with Thunderbolt 2). The attack is not tested on more recent macs with USB-C.
Alhoewel er verder geen OS versies worden genoemd.
Tja, hoe zit het dan?
Alles gepatcht maar niet vermeld?
Irritant toch dit soort half nieuws, AV bedrijven laten ook vaak essentiële info weg.
Tip, encrypt alleen informatie die dat echt nodig heeft (de encryptie discussie is a bit overrated) en sla passwords niet op, dan kunnen ze ook niet lekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
