Kwetsbaarheid in firmware van laptops biedt hackers toegang tot encryptiesleutels

Nieuwegein – Beveiligingsconsultants van F-Secure, de leverancier van oplossingen voor cybersecurity, hebben een kwetsbaarheid in moderne laptops ontdekt. Hackers kunnen daar misbruik van maken om encryptiesleutels en andere gevoelige informatie buit te maken. Deze ontdekking vormt aanleiding voor de consultants van F-Secure om computerfabrikanten en -gebruikers te waarschuwen dat de huidige beveiligingsmechanismen niet toereikend zijn om data op gestolen of zoekgeraakte laptops te beschermen.

Hackers hebben fysieke toegang tot een laptop nodig om misbruik van deze kwetsbaarheid te kunnen maken. Volgens Olle Segerdahl, principal security consultant bij F-Secure, kan een hacker de aanval in dat geval in circa vijf minuten tijd uitvoeren.

“Organisaties zijn doorgaans niet voorbereid om zichzelf te beschermen tegen cybercriminelen die een bedrijfscomputer fysiek in bezit hebben. En als je een beveiligingsprobleem aantreft in systemen van belangrijke computerfabrikanten, zoals de kwetsbaarheid die mijn team ontdekte, moet je ervanuit gaan dat veel bedrijven te maken hebben met een zwakke schakel in hun beveiliging waarvan ze zich niet volledig van bewust zijn of onvoldoende op zijn voorbereid”, zegt Segerdahl.

De kwetsbaarheid biedt hackers met fysieke toegang tot een laptop de mogelijkheid om een cold boot-aanval uit te voeren. Dit is een techniek waar hackers sinds 2008 gebruik van maken. Hierbij wordt een computer opnieuw opgestart na een reguliere afsluitprocedure, zodat hackers data die kortstondig in het RAM-geheugen aanwezig blijft na het uitschakelen van de stroom kunnen herstellen.

Moderne laptops overschrijven het RAM-geheugen om te voorkomen dat hackers gegevens stelen met cold boot-aanvallen. Segerdahl en zijn team ontdekten echter een manier om dit overschrijfproces te deactiveren, zodat ze in staat waren om de tien jaar oude aanvalstechniek opnieuw te gebruiken.

“Er zijn een paar extra stappen voor nodig ten opzichte van de klassieke cold boot-aanval, maar het werkt in combinatie met alle moderne laptops die we hebben getest. Deze techniek is met name relevant in situaties waarin apparaten worden gestolen of op illegitieme wijze worden verkregen. Hackers hebben daarmee alle tijd van de wereld om deze aanval uit te voeren”, aldus Segerdahl.

De aanval maakt misbruik van het feit dat de firmware-instellingen voor het opstartgedrag geen bescherming bieden tegen fysieke aanvallers. Een hacker kan met een simpele hardwaretool de instellingen op de niet-volatiele geheugenchip herschrijven. Dit maakt het mogelijk om de laptop opnieuw te starten met externe apparatuur, zoals met een speciaal programma op een USB-stick.

“Omdat deze aanval wordt uitgevoerd op zakelijke laptops, kunnen organisaties er niet zeker van zijn dat hun data veilig is nadat een systeem zoekraakt. En aangezien 99 procent van alle laptops zaken zoals aanmeldingsgegevens voor het bedrijfsnetwerk bevatten, biedt dit hackers een consistente en betrouwbare manier om zakelijke doelwitten aan te vallen”, zegt Segerdahl. “Er bestaat geen eenvoudige oplossing voor dit probleem. Dit is een risico dat bedrijven zelf zullen moeten ondervangen.”

Segerdahl heeft de resultaten van zijn onderzoek gedeeld met Intel, Microsoft en Apple om de PC-sector te helpen met het verbeteren van de beveiliging van zijn huidige en toekomstige producten.

Segerdahl verwacht niet dat de sector op korte termijn met een oplossing op de proppen komt. Daarom raadt hij bedrijven aan om zichzelf voor te bereiden op dit soort aanvallen. Een manier om dit te doen is door laptops te configureren om zichzelf automatisch af te sluiten of de slaapstand te activeren en gebruikers te vragen om de Bitlocker-pincode elke keer in te voeren wanneer Windows wordt opgestart of zichzelf herstelt. Verder is het belangrijk om managers en medewerkers die veel reizen voor te lichten over cold boot-aanvallen en vergelijkbare bedreigingen. IT-afdelingen zouden daarnaast moeten beschikken over een plan voor incidentrespons, zodat ze direct tegenmaatregelen kunnen treffen zodra laptops zoekraken.

“Door aanmeldingsgegevens snel in te trekken kunnen bedrijven gestolen laptops minder waardevol maken voor cybercriminelen. Teams die zich bezighouden met IT-beveiliging en incidentrespons zouden oefeningen moeten uitvoeren om zichzelf op scenario voor te bereiden. Medewerkers zouden de IT-afdeling direct op de hoogte moeten stellen als hun laptop apparaat zoekraakt of wordt gestolen”, adviseert Segerdahl. “Jezelf voorbereiden op een dergelijke situatie is beter dan ervan uit te gaan dat apparaten niet fysiek kunnen worden gehackt. Want dat is een absolute misvatting.”

Segerdahl en Pasi Saarinen, eveneens beveiligingsconsultant bij F-Secure, zullen de onderzoeksbevindingen presenteren tijdens de SEC-T conference in Zweden op 13 september en het BlueHat v18-congres van Microsoft in de Verenigde Staten op 27 september.