Firmware-rootkit binnen 4 minuten op laptop geïnstalleerd
Een aanvaller die fysieke toegang tot een laptop heeft kan snel en eenvoudig een firmware-rootkit installeren, zo heeft een onderzoeker van securitybedrijf Eclypsium aangetoond. In slechts vier minuten weet de onderzoeker de laptop open te maken en de firmware via een klein apparaatje te flashen.
Firmware zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een aanvaller met fysieke toegang kan hiervoor een "hardware programmer" gebruiken en zo de firmware aanpassen. "Hoewel het lijkt alsof het speciale apparatuur en gedetailleerde kennis vereist, is het in de meeste gevallen vrij eenvoudig", aldus het securitybedrijf.
De meeste firmware bevindt zich op een Serial Programmable Interface (SPI) flashchip die via eenvoudig verkrijgbare SPI flash programmers zijn uit te lezen en aan te passen. Een aanvaller moet wel weten wat hij in de firmware moet aanpassen om toegang te krijgen, zonder dat het systeem niet meer werkt. Een andere onderzoeker heeft eerder al een generieke backdoor gedemonstreerd die in de meeste firmware is te installeren. "Je zou kunnen zeggen dat de eenvoud en beschikbaarheid van deze tools en technieken firmware-rootkits voor niet-experts toegankelijk maken", zo stelt het securitybedrijf, dat zelfs de term "scriptkiddiemateriaal" gebruikt.
Er zijn verschillende manieren om de firmware van een computer aan te passen. Eclypsium ontdekte onlangs nog een kwetsbaarheid in Intel-processors die het mogelijk maakt om via de usb-debugtoegang persistente rootkits in de UEFI-firmware en SMM-firmware te installeren. Een aanvaller met fysieke toegang tot het apparaat kan zo een "Evil Maid" aanval uitvoeren zonder dat de laptop moet worden opengemaakt. "Via publiek beschikbare tools die eenvoudig op de usb-poort zijn aan te sluiten kan een aanvaller persistente rootkits installeren en zo secure boot en andere beveiligingsmaatregelen omzeilen", zo waarschuwt het securitybedrijf.
De belangrijkste bescherming tegen dergelijke aanvallen is om volledige fysieke controle over het apparaat te houden. Dit kan echter lastig zijn. Zelfs wanneer een aanvaller korte tijd toegang tot een systeem heeft kan er een aanval worden uitgevoerd. Verder kunnen debugfuncties in de firmware worden uitgeschakeld. In andere gevallen kan het nodig zijn om de leverancier te benaderen en te vragen om een firmware-versie waar de debugtoegang staat uitgeschakeld.
Op zich is het punt wel duidelijk: Zo'n aanval vereist fysieke toegang en kost dus de tijd die het kost om een flash uit te voeren plus de tijd die het kost de machine voldoende uitelkaar te halen om te kunnen flashen en daarna weer inelkaar te zetten.
Dat zal per laptop verschillen en kost enige oefening. Je zal dus ook kennis van het doelwit moeten hebben, en een specifieke aangepaste firmware, en zo verder. En oh ja, ook nog de tijd om 'm naar je lab te brengen danwel je impromptu werkruimte voldoende op te zetten. Je wil dit niet, bijvoorbeeld, in een volle treincoupe proberen want dan raak je gegarandeerd schroefjes kwijt.
Practische reproduceerbaarheid is dus niet een algemeen "vier minuten".
Overigens wisten we al dat dit soort dingen gewoon gebeuren: De NSA heeft routinematig allerlei firmwares in routers en switches aangepast. Post onderscheppen, reflash, verder sturen. Dat kost ook relatief weinig tijd als het eenmaal opgezet is. En als je zo'n firmware kan aanpassen, dan kan je ook een laptopfirmware aanpassen.
Heeft je reactie eigenlijk iets te maken met het artikel ?
Waarom zou een boete bugvrije software opleveren ? En als er een boete staat op bugs, zouden Linux developers dan uitgezonderd zijn - of moeten worden ? Hoe goed ze ook zijn - er zitten en zaten bugs in de kernel en in de bootloaders.
Misschien minder dan bij closed source software, misschien sneller opgelost, maar geen _nul_ bugs.
En als er open hardware is - maakt dat Coreboot perfect bugvrij ? En sterker - de hoofdzaak van het artikel was het fysiek aanpassen van software - je denkt toch niet dat dat met open hardware en open software niet kan ?
Zal echt veel helpen. En open source soft- of hardware is ook te manipuleren (en nee, er doen niet iedere dag talloze vrijwilligers een code review bij je, om te verifieren dat alles nog correct is) ;)
Wat een zinloos artikel.
Dan heb je het juist niet begrepen want dit is één van de manieren om in een versleutelde laptop te komen. Google maar eens Evil Maid attack.
Niet als ze je BIOS-chip flashen of vervangen.
Heel interessant.
Kun je de naam van een dergelijk BIOS checksum utility noemen, voor als toepassing onder een draaiend Linux systeem?
Heel interessant.
Kun je de naam van een dergelijk BIOS checksum utility noemen, voor als toepassing onder een draaiend Linux systeem?
Zie bv https://unix.stackexchange.com/questions/126132/how-to-dump-bios-data-to-a-file
en https://stackoverflow.com/questions/43275677/how-to-access-bios-rom-binary-from-linux-shell
Je hebt veel privileges nodig om zo direct geheugen te lezen (in nieuwere kernels kan ook root dit niet vanuit userspace :
https://www.flashrom.org/FAQ )
De bios file kun je dan gewoon checksummen met md5, sha2 , whatever .
Mij lijkt het draaien van dit soort low-level tools een veel groter risico voor de stabiliteit van het systeem dan het risico dat iemand je bios gemanipuleerd heeft . Het valt ook te hopen dat je hier pas aan begint als je de 'gewone' risico's perfect onder controle hebt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
