Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ZEER ERNSTIGE kwetsbaarheid in bijna ALLE computers, behalve Dell en Apple!

07-12-2023, 12:44 door Anoniem, 25 reacties
Beste mensen,

Meer informatie:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40238
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Er is een bijzonder nare kwetsbaarheid gevonden in de UEFI van ALLE computers die niet van Dell of Apple zijn, waarmee men de volledige macht over de computer kan krijgen - en het niet meer te wissen is. Het wordt nu nog niet misbruikt (het is ontdekt door beveiligingsexperts) maar hackers lezen ook mee met beveiligingsartikelen op internet, en je kunt er donder op zeggen dat ze binnen 48 uur gaan beginnen met het proberen te misbruiken hiervan (dat is meestal hoe snel ze er tegenwoordig mee zijn).

Stuur dit bericht dus door aan uw ICT afdeling en uw directie, zodat die hier met alle vaart werk van maken.

De oplossing is om de naar de website van de fabrikant van de moederbord (uw computer's grote printplaat) van uw PC te gaan, en kijken of er een firmware update voor beschikbaar is. Zo niet, kunt u ze het beste bellen, en vragen en hierom vragen. Dan hebben ze misschien een achter de schermen wel al klaar, en anders helpt u druk zetten op ze om dat als de sodemieter te gaan regelen.

@Security.nl: graag zo SNEL mogelijk een artikel boven aan zetten.

Succes! Graag doorsturen naar vrienden en bedrijven!
Reacties (25)
07-12-2023, 14:43 door Anoniem
Malafide BIOS-logo maakt installatie firmware-bootkit mogelijk
donderdag 7 december 2023, 14:17 door Redactie

https://www.security.nl/posting/821274/Malafide+BIOS-logo+maakt+installatie+firmware-bootkit+mogelijk
07-12-2023, 14:54 door Anoniem
Mensen, leer het eens url + /url tussen vierkante haken rondom een URL plaatsen.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40238
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Gelezen, en nogal hijgerige hype , IMO .

Het gaat om een proof of concept dat malware bij de UEFI (wat vroeger 'bios' of 'bios + mbr + bootloader' ) was.
Of met fysieke toegang, of door vanuit het OS de malware + exploit te te plaatsen .

IMO conceptueel niet zo heel anders dan malware dat via MBR/bootloader geplaatst wordt.

En blijkbaar is er veel gedeelde code voor 'UEFI' .
07-12-2023, 15:45 door Anoniem
Wat een paniek.....

1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2


Stuur dit bericht dus door aan uw ICT afdeling en uw directie, zodat die hier met alle vaart werk van maken.
Die denken ook weer, daar heb je zo'n gebruiker weer.
07-12-2023, 16:00 door Anoniem
Door Anoniem: Wat een paniek.....

1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2


Stuur dit bericht dus door aan uw ICT afdeling en uw directie, zodat die hier met alle vaart werk van maken.
Die denken ook weer, daar heb je zo'n gebruiker weer.

Directie is nogal overdreven, maar op zich zal de ICT afdeling het waarderen dat gebruikers actief meedenken.
Het wordt misschien vervelend als zo'n betrokken eindgebruiker elke dag gaat vragen waarom een patch hiervoor nog niet met bloedspoed gepushed is , want inderdaad , het is nogal overtrokken in veel situaties .

Maar iemand bedanken voor z'n oplettendheid en betrokkenheid, en iets als 'we hebben het ook gezien en kijken naar de impact voor ons bedrijf' terugsturen is wat ik zou doen.
07-12-2023, 16:19 door gel
Door Anoniem: Mensen, leer het eens url + /url tussen vierkante haken rondom een URL plaatsen.
µ
Bedankt voor de tip
07-12-2023, 17:29 door Anoniem
Tja, vind het niet gek.. ouwe meuk van intel uit de jaren 2010... vind het niet gek dat zo lek is als een gatenkaas.
Intel staat al niet bekend om hun programmeurs kwaliteiten voor software, microcode ook niet erg goed trouwens, en in die tijd wilde ze de eerste 64 bit cpu hebben voor AMD dat deed en de itanium was een bagger proc met ontelbare fouten en een belachelijk onzinnige instructieset met 300% overhead tenopzichte van AMD64..

bovendien gepushed vanuit Microsoft om Linux en andere OS-en het lastig te maken te kunnen booten van markt-pc's..
beide zijn jammerlijk gefaald... zelfs Apple implementeerde (U/EFI) en de linuxboeren maakten het voor linuxboeren gewoon makkelijk om linux te installeren ondanks de UEFI blokkade.
07-12-2023, 17:54 door Anoniem
Door Anoniem:
Door Anoniem: Wat een paniek.....

1 tot en met 10 beoordeeld met een score van 3.4 tot en met 8.2


Stuur dit bericht dus door aan uw ICT afdeling en uw directie, zodat die hier met alle vaart werk van maken.
Die denken ook weer, daar heb je zo'n gebruiker weer.

Directie is nogal overdreven, maar op zich zal de ICT afdeling het waarderen dat gebruikers actief meedenken.
Het wordt misschien vervelend als zo'n betrokken eindgebruiker elke dag gaat vragen waarom een patch hiervoor nog niet met bloedspoed gepushed is , want inderdaad , het is nogal overtrokken in veel situaties .

Maar iemand bedanken voor z'n oplettendheid en betrokkenheid, en iets als 'we hebben het ook gezien en kijken naar de impact voor ons bedrijf' terugsturen is wat ik zou doen.
En tientallen extra telefoontjes, tickets en extra werkt om dit allemaal weer te managen. Nee, IT zit niet te wachten hierop.

Tickets kosten ook geld en resources.
07-12-2023, 21:17 door Anoniem
Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.

Windows op zichzelf is al een gatenkaas, dan ga ik me toch niet druk maken over de mogelijkheid om misschien via een plaatje een malafide uefi update zou kunnen laden. kom op zeg.
08-12-2023, 00:17 door Anoniem
Door Anoniem:


[..]

Maar iemand bedanken voor z'n oplettendheid en betrokkenheid, en iets als 'we hebben het ook gezien en kijken naar de impact voor ons bedrijf' terugsturen is wat ik zou doen.
En tientallen extra telefoontjes, tickets en extra werkt om dit allemaal weer te managen. Nee, IT zit niet te wachten hierop.

Tickets kosten ook geld en resources.

Onzin - dwz, voor dit type ongevraagde suggesties hoef geen enorme berg tickets aan te maken en ook geenn tijdrovend onderzoek te doen.

Dat een goede IT organisatie niks nieuws hoort van een enthousiaste eindgebruiker is natuurlijk waar. (dat is wat het een _goede_ IT organisatie maakt. )

Maar wat ze _niet_ moeten doen is dat soort mensen ontmoedigen, afzeiken of whatever.
Dan maar een paar telefoontjes extra.

Want betrokken en alerte eindgebruikers is precies wat IT/het bedrijf WEL WIL. En actief om vraagt in alle phishing en security trainingen . Daar is de boodschap unaniem 'bij twijfel doe niks zelf maar vraag IT' .
Dan gaat het echt niet helpen wanneer een enthousiasteling die een goed bedoelde tip/alert stuurde bij de enkels is afgezaagd door de dienstdoende helpdesk nerd.
08-12-2023, 01:09 door Anoniem
Door Anoniem: Mensen, leer het eens url + /url tussen vierkante haken rondom een URL plaatsen.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40238
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Gelezen, en nogal hijgerige hype , IMO .

Het gaat om een proof of concept dat malware bij de UEFI (wat vroeger 'bios' of 'bios + mbr + bootloader' ) was.
Of met fysieke toegang, of door vanuit het OS de malware + exploit te te plaatsen .

IMO conceptueel niet zo heel anders dan malware dat via MBR/bootloader geplaatst wordt.

En blijkbaar is er veel gedeelde code voor 'UEFI' .


Lost een TPM chip dit niet op?

Of valideert die alleen naar beneden toe (UEFI>Secure Boot>Windows kernel)?
08-12-2023, 01:26 door Anoniem
Door Anoniem: Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.

Windows op zichzelf is al een gatenkaas, dan ga ik me toch niet druk maken over de mogelijkheid om misschien via een plaatje een malafide uefi update zou kunnen laden. kom op zeg.


Deze info klopt niet helemaal.

Niemand gebruikt meer BIOS, een systeem van voor het jaar 2000.

Elke moderne PC (20 jaar of nieuwer) heeft UEFI, met BIOS emulatie.

Secure Boot is een zeer welkome antimalware feature die je met extra handelingen (crypto keys in je 'BIOS' zetten en Secureboot enforcen) NA Windows 10/11 installatie. Standaard heb je geen secureboot. Secureboot zorgt ervoor dat wanneer jij boot, je zeker bent dat je Windows kernel origineel is, een bijv geen cryptolocker rootkit.

Verder:
Windows vereist een TPM maar ik heb Windows 11 met secureboot lopen op een versie 1.2 TPM van 10 jaar oud. Dus geen 2.0 chip zoals dat schijnbaar moet.

Verder:
Ook zonder TPM kun je Windows 11 installeren. Bij de install moet je dan de regeditor openen en een check disablen.


Tegen de genoemde UEFI attack helpt alleen iets beters dan de TPM en dan moet je aan attestation met hardware keys denken. Denk dan ook aan een open source BIOS implementatie zoals Coreboot die je dan moet voorzien van plugins, weet hem zo niet bij naam maar er is een plugin die je Coreboot en je kernels valideert met een PGP key op een USB stick.
08-12-2023, 09:49 door Anoniem
Door Anoniem: Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.

Windows op zichzelf is al een gatenkaas, dan ga ik me toch niet druk maken over de mogelijkheid om misschien via een plaatje een malafide uefi update zou kunnen laden. kom op zeg.

Wat een totale onzin zeg. UEFI/secure boot staat gewoon standaard aan.
08-12-2023, 10:05 door Anoniem
Door Anoniem:
Door Anoniem: Mensen, leer het eens url + /url tussen vierkante haken rondom een URL plaatsen.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40238
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Gelezen, en nogal hijgerige hype , IMO .

Het gaat om een proof of concept dat malware bij de UEFI (wat vroeger 'bios' of 'bios + mbr + bootloader' ) was.
Of met fysieke toegang, of door vanuit het OS de malware + exploit te te plaatsen .

IMO conceptueel niet zo heel anders dan malware dat via MBR/bootloader geplaatst wordt.

En blijkbaar is er veel gedeelde code voor 'UEFI' .


Lost een TPM chip dit niet op?

Of valideert die alleen naar beneden toe (UEFI>Secure Boot>Windows kernel)?

Je zou natuurlijk die URL kunnen aanklikken . Ze staan er nu juist voor 'meer informatie' .

Nee , TPM lost dit niet op .

De reden dat ik hyperig noem is dat het scenario waarin deze exploit mogelijk is (en nodig is - als in, dat er uberhaupt een poging gedaan is met uefi+secure boot etc) nogal wat vraagt .
08-12-2023, 10:25 door Anoniem
Geestig zeg, dan kan je om veiligheidsredenen je computer niet herstarten totdat je een BIOS-update hebt geïnstalleerd.

In het rijtje van systemen die niet te maken hebben met LogoFAIL (Dell en Apple) zou je ook Raspberry Pi kunnen toevoegen.
Die dingen hebben geen UEFI.
08-12-2023, 10:56 door Anoniem
Door Anoniem: Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.
En laat nu net eens de meest gebruikte OS op de desktop Windows zijn.

UEFI staat tegenwoordig standaard aan trouwens op iedere nieuwe laptop, net zoals secure boot.

Door Anoniem:
Door Anoniem:


[..]

Maar iemand bedanken voor z'n oplettendheid en betrokkenheid, en iets als 'we hebben het ook gezien en kijken naar de impact voor ons bedrijf' terugsturen is wat ik zou doen.
En tientallen extra telefoontjes, tickets en extra werkt om dit allemaal weer te managen. Nee, IT zit niet te wachten hierop.

Tickets kosten ook geld en resources.

Onzin - dwz, voor dit type ongevraagde suggesties hoef geen enorme berg tickets aan te maken en ook geenn tijdrovend onderzoek te doen.
Ieder telefoontje bij een SD moet eigenlijk een ticket zijn, zodat het geregistered is.

Vaak is doorbelasting ook op basis van tickets.
08-12-2023, 11:51 door Bitje-scheef
Door Anoniem:
Door Anoniem: Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.

Windows op zichzelf is al een gatenkaas, dan ga ik me toch niet druk maken over de mogelijkheid om misschien via een plaatje een malafide uefi update zou kunnen laden. kom op zeg.


Deze info klopt niet helemaal.

Niemand gebruikt meer BIOS, een systeem van voor het jaar 2000.

Elke moderne PC (20 jaar of nieuwer) heeft UEFI, met BIOS emulatie.

Secure Boot is een zeer welkome antimalware feature die je met extra handelingen (crypto keys in je 'BIOS' zetten en Secureboot enforcen) NA Windows 10/11 installatie. Standaard heb je geen secureboot. Secureboot zorgt ervoor dat wanneer jij boot, je zeker bent dat je Windows kernel origineel is, een bijv geen cryptolocker rootkit.

Verder:
Windows vereist een TPM maar ik heb Windows 11 met secureboot lopen op een versie 1.2 TPM van 10 jaar oud. Dus geen 2.0 chip zoals dat schijnbaar moet.

Verder:
Ook zonder TPM kun je Windows 11 installeren. Bij de install moet je dan de regeditor openen en een check disablen.


Tegen de genoemde UEFI attack helpt alleen iets beters dan de TPM en dan moet je aan attestation met hardware keys denken. Denk dan ook aan een open source BIOS implementatie zoals Coreboot die je dan moet voorzien van plugins, weet hem zo niet bij naam maar er is een plugin die je Coreboot en je kernels valideert met een PGP key op een USB stick.

TPM 1.2 kan nu nog met omwegen, maar die omweg wordt mogelijk dichtgezet.
Je krijgt dan sowieso geen updates.
08-12-2023, 12:22 door Anoniem
Succes! Graag doorsturen naar vrienden en bedrijven!
Waarom wordt dezelfde terminologie gebruikt die wij al jaren zijn tegengekomen in hoax-berichten?
08-12-2023, 12:30 door Anoniem
Door Anoniem:

Onzin - dwz, voor dit type ongevraagde suggesties hoef geen enorme berg tickets aan te maken en ook geenn tijdrovend onderzoek te doen.
Ieder telefoontje bij een SD moet eigenlijk een ticket zijn, zodat het geregistered is.

Vaak is doorbelasting ook op basis van tickets.

Als dat zo moet in je organisatie, dan doe je dat maar zo. je hebt vast wel een ticket categorie 'information given, no further action' .

Het is het soort commentaar waarmee je snapt dat gebruikers "IT" als de vijand zien en zoveel mogelijk vermijden.
08-12-2023, 14:18 door Anoniem
Tja, EUFI: zoals zo vaak, een heel ingewikkelde oplossing
voor relatief beperkte beperkingen van BIOS.
Dan kun je dat soort problemen verwachten.
08-12-2023, 17:49 door Anoniem
Door Anoniem:
Door Anoniem:

Onzin - dwz, voor dit type ongevraagde suggesties hoef geen enorme berg tickets aan te maken en ook geenn tijdrovend onderzoek te doen.
Ieder telefoontje bij een SD moet eigenlijk een ticket zijn, zodat het geregistered is.

Vaak is doorbelasting ook op basis van tickets.

Als dat zo moet in je organisatie, dan doe je dat maar zo. je hebt vast wel een ticket categorie 'information given, no further action' .

Het is het soort commentaar waarmee je snapt dat gebruikers "IT" als de vijand zien en zoveel mogelijk vermijden.
Kost nog steeds tijd/geld/effort en levert niets op.
08-12-2023, 18:16 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Anoniem: Wat een gezeur om niks, volgens mij is er helemaal niks aan de hand. Veel mensen gebruiken niet eens UEFI mode of secure boot. En waar het wel in gebruik is of vereist (bijv. Windows 11) dan heb je bijv. niet eens standaard gegevens versleuteling, dat vind ik veel belangrijker.

Windows op zichzelf is al een gatenkaas, dan ga ik me toch niet druk maken over de mogelijkheid om misschien via een plaatje een malafide uefi update zou kunnen laden. kom op zeg.


Deze info klopt niet helemaal.

Niemand gebruikt meer BIOS, een systeem van voor het jaar 2000.

Elke moderne PC (20 jaar of nieuwer) heeft UEFI, met BIOS emulatie.

Secure Boot is een zeer welkome antimalware feature die je met extra handelingen (crypto keys in je 'BIOS' zetten en Secureboot enforcen) NA Windows 10/11 installatie. Standaard heb je geen secureboot. Secureboot zorgt ervoor dat wanneer jij boot, je zeker bent dat je Windows kernel origineel is, een bijv geen cryptolocker rootkit.

Verder:
Windows vereist een TPM maar ik heb Windows 11 met secureboot lopen op een versie 1.2 TPM van 10 jaar oud. Dus geen 2.0 chip zoals dat schijnbaar moet.

Verder:
Ook zonder TPM kun je Windows 11 installeren. Bij de install moet je dan de regeditor openen en een check disablen.


Tegen de genoemde UEFI attack helpt alleen iets beters dan de TPM en dan moet je aan attestation met hardware keys denken. Denk dan ook aan een open source BIOS implementatie zoals Coreboot die je dan moet voorzien van plugins, weet hem zo niet bij naam maar er is een plugin die je Coreboot en je kernels valideert met een PGP key op een USB stick.

TPM 1.2 kan nu nog met omwegen, maar die omweg wordt mogelijk dichtgezet.
Je krijgt dan sowieso geen updates.


Ik kon Win11 Pro op een oude merk laptop met TPM 1.2 installeren zonder speciale aanpassingen.
Zelfs secure boot kon ik daarna enablen in UEFI.

Hij is licensed en krijgt updates. De laatste Win11 nu.

Dus jij zegt dat dit gaat stoppen? Weet je meer? Want dan moet ik nu al gaan sparen nl.
Bedankt alvast

In vind 11 een hele verbetering t.o.v. 10 qua privacy opties. 10 was echt een zooitje. Win11 is super stabiel en ze hebben geluisterd naar de klant inzake privacy sliders en toggles. W10Privacy doet de rest , in de registry..

Enige wat minder is dat je een beetje moeite moet doen om een local account te maken, dat wordt ook elke release iets lastiger gemaakt. Maar waar klaag ik over.. 2 commandos intypen is niets. Normaal zit ik ook de hele dag aan de CLI met Gentoo
08-12-2023, 23:11 door Rubbertje - Bijgewerkt: 08-12-2023, 23:12
Waar maak jij je druk om. Ik heb een Acer laptop en die draait als een zonnetje, alles op wieltjes, rolletjes, you name it!
08-12-2023, 23:28 door Anoniem
Door Rubbertje: Waar maak jij je druk om. Ik heb een Acer laptop en die draait als een zonnetje, alles op wieltjes, rolletjes, you name it!

Deze is van 2015 en ik heb geen geld voor een nieuwe laptop
13-12-2023, 21:14 door Anoniem
Door Anoniem: Beste mensen,

Meer informatie:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40238
https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/

Er is een bijzonder nare kwetsbaarheid gevonden in de UEFI van ALLE computers die niet van Dell of Apple zijn, waarmee men de volledige macht over de computer kan krijgen - en het niet meer te wissen is. Het wordt nu nog niet misbruikt (het is ontdekt door beveiligingsexperts) maar hackers lezen ook mee met beveiligingsartikelen op internet, en je kunt er donder op zeggen dat ze binnen 48 uur gaan beginnen met het proberen te misbruiken hiervan (dat is meestal hoe snel ze er tegenwoordig mee zijn).

Stuur dit bericht dus door aan uw ICT afdeling en uw directie, zodat die hier met alle vaart werk van maken.

De oplossing is om de naar de website van de fabrikant van de moederbord (uw computer's grote printplaat) van uw PC te gaan, en kijken of er een firmware update voor beschikbaar is. Zo niet, kunt u ze het beste bellen, en vragen en hierom vragen. Dan hebben ze misschien een achter de schermen wel al klaar, en anders helpt u druk zetten op ze om dat als de sodemieter te gaan regelen.

@Security.nl: graag zo SNEL mogelijk een artikel boven aan zetten.

Succes! Graag doorsturen naar vrienden en bedrijven!
Ik krijg ook zo vaak dit soort emailtjes.
Die gaan binnen enkele seconden gelijk naar de eeuwige bitvelden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.