image

Onderzoekers infecteren bios/uefi met ransomware

dinsdag 21 februari 2017, 08:04 door Redactie, 8 reacties

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem.

De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren.

De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven.

Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is.

Reacties (8)
21-02-2017, 08:15 door karma4
Ieufi is van Intel en niet os specifiek. Doel enkel een door de eigenaar bedoeld os als opstart mogelijk te maken. Een mitigatie om aanvallen met een ander os via fysieke toegang moeilijker te maken. Volledige encryptie met een onbekende sleutel hoort er ook bij. Lastig want de sleutel moet op de hardware staan.
21-02-2017, 13:07 door Anoniem
Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven.
Volgens mij voldoet Gigabyte daarmee niet aan de certificatie-eisen die Microsoft aan hardware waarop Windows draait stelt:
Secure firmware update process. If the platform firmware is to be serviced, it must follow a secure update process. To ensure the lowest level code layer is not compromised, the platform must support a secure firmware update process that ensures only signed firmware components that can be verified using the signature database (and are not invalidated by the forbidden signature database) can be installed.
https://msdn.microsoft.com/en-us/library/windows/hardware/jj128256
21-02-2017, 22:17 door Anoniem
Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven.

Of fabrikanten implementeren simpelweg een hardware read-only switch.
22-02-2017, 10:45 door Anoniem
Door karma4: Ieufi is van Intel en niet os specifiek.
Het is wel heel erg windows-centrisch. Het had veel minder windows-centrisch kunnen zijn met dezelfde of betere functionaliteit.

Doel enkel een door de eigenaar bedoeld os als opstart mogelijk te maken.
Je bedoelt het "secure boot" onderdeel. Waarmee je impliciet zegt dat de eigenaar van de sleutels de eigenaar van de hardware is. Dat is ook zo, maar dat heeft bestwel verregaande implicaties. Tot en met de fabrikant die door die sleutels achter te houden ook het eigenaarschap achterhoudt van de hardware die je dacht te hebben gekocht.

Je hebt dus iets anders gekregen, bijvoorbeeld een gebruiksrecht, wat ook weer zo ingetrokken kan worden. Waarmee dan je in dezelfde situatie zit als bijvoorbeeld geDRMde muziekbestandjes waarvan de authorisatieservers zijn uitgezet.

Door Anoniem: Of fabrikanten implementeren simpelweg een hardware read-only switch.
Ben ik het helemaal mee eens. Maar volgens de verschillende hard- en softwarefabrikanten is dat dus gewoon te moeilijk voor "de eindgebruiker".

Combineer dat met de opzet van "secure boot" en je weet gelijk hoe de fabrikanten tegen de eindgebruiker aankijken. Niet heel gek, maar wel arrogant, want de producten (hardware, software) die ze leveren blijkt zelf keer op keer zo lek als een mandje. En dat wordt vaak genoeg niet eens geholpen door "nou maar eindelijk, toe" dat "secure boot" gedeelte aan te zetten.

Het gekke is, we doen iedere keer alsof windows de enige mogelijkheid ooit zou kunnen zijn. Maar er zijn en zeker waren best alternatieven, ook als je het "linux op de desktop" idee niet meerekent.
22-02-2017, 11:10 door [Account Verwijderd]
[Verwijderd]
22-02-2017, 13:04 door Anoniem
Ik vraag me alleen af wanneer een BIOS wachtwoord van te voren is ingesteld dit ook werkt.
Zelf werk ik ook met BIOS tools van leveranciers zodat je vanaf Windows BIOS settings kan laten aanpassen.
Maar omdat wij BIOS wachtwoorden hebben moet er een "answer" file mee met het wachtwoord, anders worden er geen aanpassingen uitgevoerd.

Dus ben nieuwsgierig of het dan ook werkt met BIOS wachtwoord.
22-02-2017, 14:39 door Anoniem
Door Anoniem: Dus ben nieuwsgierig of het dan ook werkt met BIOS wachtwoord.
Best kans dat dat wachtwoord nul invloed op deze truuk gaat hebben. Waarom precies laat ik als een oefening.
22-02-2017, 14:41 door Anoniem
Door Rinjani:
Door Anoniem: Het gekke is, we doen iedere keer alsof windows de enige mogelijkheid ooit zou kunnen zijn. Maar er zijn en zeker waren best alternatieven, ook als je het "linux op de desktop" idee niet meerekent.
Wij (consumenten) doen dat niet, het is Microsoft die hardwareleveranciers onder druk zet om dergelijke windows-centrische oplossingen in te bouwen.
En "wij" slikken dat als zoete koek. Waarmee we weer terug zijn bij de eerdere opmerking.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.