Wouter Hoeffnagel - 16 september 2018

Laptops gevoelig voor aanvallers door beveiligingsprobleem in firmware

Een kwetsbaarheid in moderne laptops geeft aanvallers de mogelijkheid encryptiesleutels en andere gevoelige informatie buit te maken. Hiervoor is wel fysieke toegang tot een laptop nodig. De aanval kan vervolgens in circa vijf minuten worden uitgevoerd.

Dit blijkt uit onderzoek van F-Secure. Deze ontdekking vormt aanleiding voor beveiligingsconsultants van F-Secure om computerfabrikanten en -gebruikers te waarschuwen dat de huidige beveiligingsmechanismen niet toereikend zijn om data op gestolen of zoekgeraakte laptops te beschermen. “Organisaties zijn doorgaans niet voorbereid om zichzelf te beschermen tegen cybercriminelen die een bedrijfscomputer fysiek in bezit hebben. En als je een beveiligingsprobleem aantreft in systemen van belangrijke computerfabrikanten, zoals de kwetsbaarheid die mijn team ontdekte, moet je ervanuit gaan dat veel bedrijven te maken hebben met een zwakke schakel in hun beveiliging waarvan ze zich niet volledig van bewust zijn of onvoldoende op zijn voorbereid”, zegt Segerdahl.

Cold boot-aanval

De kwetsbaarheid biedt hackers met fysieke toegang tot een laptop de mogelijkheid om een cold boot-aanval uit te voeren. Dit is een techniek waar hackers sinds 2008 gebruik van maken. Hierbij wordt een computer opnieuw opgestart na een reguliere afsluitprocedure, zodat hackers data die kortstondig in het RAM-geheugen aanwezig blijft na het uitschakelen van de stroom kunnen herstellen.

Moderne laptops overschrijven het RAM-geheugen om te voorkomen dat hackers gegevens stelen met cold boot-aanvallen. Segerdahl en zijn team ontdekten echter een manier om dit overschrijfproces te deactiveren, zodat ze in staat waren om de tien jaar oude aanvalstechniek opnieuw te gebruiken. “Er zijn een paar extra stappen voor nodig ten opzichte van de klassieke cold boot-aanval, maar het werkt in combinatie met alle moderne laptops die we hebben getest. Deze techniek is met name relevant in situaties waarin apparaten worden gestolen of op illegitieme wijze worden verkregen. Hackers hebben daarmee alle tijd van de wereld om deze aanval uit te voeren”, aldus Segerdahl.

Geen bescherming tegen fysieke aanvallers

De aanval maakt misbruik van het feit dat de firmware-instellingen voor het opstartgedrag geen bescherming bieden tegen fysieke aanvallers. Een hacker kan met een simpele hardwaretool de instellingen op de niet-volatiele geheugenchip herschrijven. Dit maakt het mogelijk om de laptop opnieuw te starten met externe apparatuur, zoals met een speciaal programma op een USB-stick.

“Omdat deze aanval wordt uitgevoerd op zakelijke laptops, kunnen organisaties er niet zeker van zijn dat hun data veilig is nadat een systeem zoekraakt. En aangezien 99 procent van alle laptops zaken zoals aanmeldingsgegevens voor het bedrijfsnetwerk bevatten, biedt dit hackers een consistente en betrouwbare manier om zakelijke doelwitten aan te vallen”, zegt Segerdahl. “Er bestaat geen eenvoudige oplossing voor dit probleem. Dit is een risico dat bedrijven zelf zullen moeten ondervangen.”

Segerdahl heeft de resultaten van zijn onderzoek gedeeld met Intel, Microsoft en Apple om de PC-sector te helpen met het verbeteren van de beveiliging van zijn huidige en toekomstige producten.

Geen oplossing op korte termijn

De sector zal op korte termijn met een oplossing op de proppen komen, verwacht Segerdahl. Daarom raadt hij bedrijven aan om zichzelf voor te bereiden op dit soort aanvallen. Een manier om dit te doen is door laptops te configureren om zichzelf automatisch af te sluiten of de slaapstand te activeren en gebruikers te vragen om de Bitlocker-pincode elke keer in te voeren wanneer Windows wordt opgestart of zichzelf herstelt. Verder is het belangrijk om managers en medewerkers die veel reizen voor te lichten over cold boot-aanvallen en vergelijkbare bedreigingen. IT-afdelingen zouden daarnaast moeten beschikken over een plan voor incidentrespons, zodat ze direct tegenmaatregelen kunnen treffen zodra laptops zoekraken.

“Door aanmeldingsgegevens snel in te trekken kunnen bedrijven gestolen laptops minder waardevol maken voor cybercriminelen. Teams die zich bezighouden met IT-beveiliging en incidentrespons zouden oefeningen moeten uitvoeren om zichzelf op scenario voor te bereiden. Medewerkers zouden de IT-afdeling direct op de hoogte moeten stellen als hun laptop apparaat zoekraakt of wordt gestolen”, adviseert Segerdahl. “Jezelf voorbereiden op een dergelijke situatie is beter dan ervan uit te gaan dat apparaten niet fysiek kunnen worden gehackt. Want dat is een absolute misvatting.”

Segerdahl en Pasi Saarinen, eveneens beveiligingsconsultant bij F-Secure, zullen de onderzoeksbevindingen presenteren tijdens de SEC-T conference in Zweden op 13 september en het BlueHat v18-congres van Microsoft in de Verenigde Staten op 27 september.

Fujitsu BW DIL vierkant week 9 tm 12-2024 Trend Micro BW BN week 10-11-13-14-2024
Fujitsu BW en BN liggend DIL week 9 tm 12-2024