image

Computers met nieuwe Intel-processor via usb 3.0 aan te vallen

woensdag 18 januari 2017, 17:15 door Redactie, 7 reacties

Onderzoekers hebben een methode ontdekt om systemen met nieuwe Intel-processoren via usb 3.0 aan te vallen zonder dat beveiligingstools dit kunnen detecteren. Standaard zijn computers echter niet kwetsbaar voor deze aanval, aldus Intel en onderzoekers van het Positive Research Center.

De onderzoekers ontdekten dat bij nieuwe Intel-processoren de debugging-interface via de usb 3.0-poort toegankelijk is. Deze debugging-interface is bedoeld om problemen met het systeem te vinden, maar kan ook door aanvallers worden misbruikt. "Een aanvaller kan dit mechanisme als een backdoor gebruiken en alle beveiligingssystemen omzeilen", aldus de onderzoekers. Zo is het via de debugging-interface mogelijk om code toe te voegen, gegevens te lezen en de machine onbruikbaar te maken.

Om de aanval te laten slagen moet de DCI-interface op de computer staan ingeschakeld. Iets wat standaard niet het geval is. Aanvallers zouden in theorie deze DCI-interface wel kunnen inschakelen, bijvoorbeeld via een kwaadaardige bios-update of via het gebruik van een P2SB-apparaat. De onderzoekers schetsen een scenario waarbij een organisatie computers of laptops bestelt en deze bestelling door een aanvaller wordt onderschept. De aanvaller schakelt de DCI-interface in. Vervolgens kan een insider binnen de organisatie met fysieke toegang tot de apparaten via een usb-apparaat toegang tot de systemen krijgen.

Intel laat in een reactie weten dat de DCI-interface standaard staat uitgeschakeld en alleen met goedkeuring van de gebruiker via een bios-aanpassing kan worden ingeschakeld. "Fysieke toegang tot en controle over het systeem is vereist om DCI in te schakelen", aldus de chipgigant. Zelfs wanneer de DCI-interface is ingeschakeld is het gebruik van de debugging-interface volgens Intel niet mogelijk zonder proprietary sleutels die via een licentie bij Intel moeten worden verkregen. De onderzoekers presenteerden hun onderzoek onlangs tijdens het Chaos Communication Congress in Hamburg. Hieronder een demonstratie van de aanval.

Image

Reacties (7)
18-01-2017, 17:34 door Anoniem
Een woord voor "BACKDOOR"...
Je hoeft geen aluminiumfolie rol gegeten te hebben voor ontbijt om te zien dat het echt nergens meer naartoe gaat met die spionage drift van de VS.
18-01-2017, 17:38 door Anoniem
Privé heb ik daar geen enkel probleem mee, al is er weet ik veel wat voor mogelijkheid mijn PC af te tappen door er bij te staan en hem aan te zetten. Want dat betekent inbraak en dan heb ik heel andere problemen dan mijn PC (waarop geen wachtwoorden te vinden zijn en alle belangrijke documenten versleuteld zijn).

Maar voor bedrijven ligt dat heel anders. Waar is de tijd gebleven dat je op een bedrijfs-PC helemaal geen 'floppy-drive' mocht hebben, zodat er ook niets van buitenaf geïnstalleerd kon worden? Nu kan Jan en alleman maar vanalles op die dingen ondernemen en eraan verpesten. Tenzij systeembeheer echte (policy) maatregelen heeft genomen, maar dat komt naar mijn idee maar zelden voor. En is dankzij de Microsoft opvattingen ingeval van Windows 10 alleen nog mogelijk in de Enterprise versie, die lang niet elke (kleinere) werkgever zich kan veroorloven.
18-01-2017, 22:34 door karma4
Door Anoniem: .....
Maar voor bedrijven ligt dat heel anders. Waar is de tijd gebleven dat je op een bedrijfs-PC helemaal geen 'floppy-drive' mocht hebben, zodat er ook niets van buitenaf geïnstalleerd kon worden? Nu kan Jan en alleman maar vanalles op die dingen ondernemen en eraan verpesten. Tenzij systeembeheer echte (policy) maatregelen heeft genomen, maar dat komt naar mijn idee maar zelden voor. ....
De eerste pc's hadden op zijn best een floppy drive 160k modem een uitzondering. Pad later werd het als een risico gezien.
Bij de professionele inrichtingen enterprise gaat het hele installatie inclusief usb gewoon op slot. Voor alle externe opslag verplichte encryptie. Desktopbeheer is big business. Alleen voor de kleine toeleveranciers die enkel een thuisinstallatie beheersen Is dat anders.
19-01-2017, 01:05 door [Account Verwijderd]
Door karma4:
Door Anoniem: .....
Maar voor bedrijven ligt dat heel anders. Waar is de tijd gebleven dat je op een bedrijfs-PC helemaal geen 'floppy-drive' mocht hebben, zodat er ook niets van buitenaf geïnstalleerd kon worden? Nu kan Jan en alleman maar vanalles op die dingen ondernemen en eraan verpesten. Tenzij systeembeheer echte (policy) maatregelen heeft genomen, maar dat komt naar mijn idee maar zelden voor. ....
De eerste pc's hadden op zijn best een floppy drive 160k modem een uitzondering. Pad later werd het als een risico gezien.
Bij de professionele inrichtingen enterprise gaat het hele installatie inclusief usb gewoon op slot. Voor alle externe opslag verplichte encryptie. Desktopbeheer is big business. Alleen voor de kleine toeleveranciers die enkel een thuisinstallatie beheersen Is dat anders.
Karma, for the love of God, kun je voor je iets verzendt een paar keer lezen wat je schrijft? Misschien wordt na een paar correcties eea beter leesbaar voor ons.

OT : Kleine bedrijven hebben niet echt wat te vrezen, het zijn de grotere organisaties die geen budget hebben (vrij maken) voor fatsoenlijk ICT (neem scholen en ziekenhuizen bijvoorbeeld) die kwetsbaar zijn.
Kleinere organisaties werken meestal met een fijne ICT-Boer-Om-de-Hoek en zullen niet echt een target zijn. Maar als je een Europees contract hebt met Dell als ziekenhuis wordt het wél iets anders.
19-01-2017, 07:51 door karma4
Probeer ik nedfox. Onderweg smartphone autocorrecties het blijft behelpen. En dan sla ik de helft van de woorden en leestekens ook nog eens over.

Je nuancering: risico impact kleine bedrijven is uitstekend. Eveneens het beperkte budget en tekortkoming visie bij bepaalde organisaties. Daar begrijpen we elkaar.
19-01-2017, 10:43 door Anoniem
Lol dat los je zo op. Ik heb persoonlijk een product ingezet bij een van de grootste dataverwerkers (inclusief beheer van policies en groepen)

Daarbij als je toegang tot de hardware krijgt kun je uberhaupt alles.
19-01-2017, 13:09 door Anoniem
Laat het even duidelijk zijn dat dit geen bacdoor is, maar een legitieme debugging tool, die waarschijnlijk relatief gemakkelijk te mitigeren is door de BIOS af te schermen en gebruikers geen local admin te geven.
Ja, met fysieke toegang kan een BIOS alsnog gereset en geflashed worden, maar dit kost relatief veel tijd. Dit maakt de aanval een even groot (of zelfs kleiner) risico dan een netwerk tap, rubber ducky, keylogger etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.