Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties

Intel waarschuwt voor een kwetsbaarheid in het bios van zijn NUC-computers, waardoor kwaadwillenden toegang kunnen krijgen tot de System Management Mode. De fabrikant zegt updates uit te brengen om het probleem te verhelpen.

Om de kwetsbaarheid te misbruiken, moet een aanvaller toegang hebben tot het lokale admin-account. Intel meldt dat er vervolgens via het bios toegang verkregen kan worden tot de smm. Een beschrijving van de kwetsbaarheid ontbreekt, maar Intel noemt dat deze ontdekt is door beveiligingsonderzoeker Dmytro Oleksiuk. Hij ontdekte eerder dit jaar een soortgelijke kwetsbaarheid in laptops van Lenovo en op verschillende moederborden van Gigabyte.

De onderzoeker verwijst op Twitter naar de waarschuwing van Intel en meldt dat er nog geen updates beschikbaar zijn die de kwetsbaarheid verhelpen. Intel heeft zelf een lijst gemaakt met getroffen producten en noemt daarbij de aanbevolen biosversies die gebruikers dienen te installeren. In veel gevallen gaat het om oudere biosversies die al uitgebracht zijn. Intel zegt in het bericht echter ook met updates te komen.

Vorig jaar bleek dat oudere Intel-processors een kwetsbaarheid bevatten in de smm, waarmee het mogelijk is om rootkits te implementeren die niet gedetecteerd kunnen worden. Het is niet duidelijk in hoeverre de nieuwe kwetsbaarheid gerelateerd is tot die ontdekking.

Oorspronkelijk werd de System Management Mode ingebouwd voor energiebeheer, maar er zijn tal van functionaliteiten toegevoegd. Zo is de trusted platform module, waar encryptiesleutels in kunnen worden opgeslagen, in smm ondergebracht.

Intel heeft het probleem geconstateerd bij een aantal van zijn eigen NUC's en ook de Compute Stick van het bedrijf is kwetsbaar. In zijn aankondiging meldt Intel dat er updates uitgebracht worden, maar op het moment van schrijven zijn er geen nieuwe biosversies voor de betreffende producten beschikbaar.

Modelnummer Aanbevolen bios
Versie

NUC6i3SYB (Swift Canyon - i3)

NUC6i5SYB (Swift Canyon - i5)

SYSKLi35.86A

SY0051

NUC5PGYH (Grass Canyon – Pentium)

NUC5CPYH (Pinnacle Canyon – Celeron)

NUC5PPYH (Pinnacle Canyon – Pentium)

PYBWCEL.86A

PY0056

NUC6i7KYB (Skull Canyon - i7)

KYSKLi70.86A

KY0041

NUC5i7RYH (Rock Canyon - i7)

NUC5i5RYB (Rock Canyon - i5)

NUC5i3RYB (Rock Canyon - i3)

RYBDWi35.86A

RY0359

STK1AW32SC (Sterling City)

STK1A32SC (Sterling City)

SCCHTAX5.86A

SC0029

STK2mv64CC (Cedar City – m3)

CCSKLm30.86a

CCV00042

STK2m3w64CC (Cedar City - m5)

CCSKLm5v.86A

CC0042

Intel Skull Canyon nuc

Moderatie-faq Wijzig weergave

Reacties (21)

Sinds de komst van UEFI, een systeem dat de computer veiliger moet maken, is juist de UEFI kwetsbaarder geworden. Juist dat de bios zo makkelijk valt te updaten en valt aan te passen zorgt er nu voor dat het systeem kwetsbaarder is geworden in mijn ogen.
We horen de laatste tijd vaker dat hackers toegang kunnen verkrijgen tot de bios eigenlijk sinds de komst van het UEFI systeem. En was het al niet zo dat UEFI in het verleden ervoor zorgde dat non-Windows besturingssystemen niet konden worden ge´nstalleerd met UEFI aan komen er de laatste tijd meer beperkingen uit waardoor alternatieve besturingssystemen soms helemaal niet kunnen worden ge´nstalleerd. Bijvoorbeeld als de fabrikant besluit om de optie om UEFI uit te schakelen niet toe te staan.

Ik denk dat we langzaam moeten gaan denken over de wensbaarheid van de BioS zoals deze nu is.

/Edit; Noobfoutje aangepast. :+

[Reactie gewijzigd door Auredium op 5 oktober 2016 14:28]

Als je denkt dat het UEFI het probleem is, het is nog veel erger, lees bijvoorbeeld dit: https://libreboot.org/faq/#intel
ja, daar heb ik eens een lezing van bijgewoond, zakt je broek van af wat er voor ellende is allemaal.
maarja.. iedereen accepteert het maar dus ik ook maar.
Wel niet iedereen accepteert het, Raptor Engineering is bijvoorbeeld bezig aan het kijken om een moederbord te maken dat volledig op open source kan draaien (en ook alle firmware dus): https://www.raptorengineering.com/TALOS/prerelease.php. Er zijn er vast nog meer, maar dit is echt zwemmen tegen de stroom in...
Ze raden het daar af om Intel-hardware van na 2008 te gebruiken en AMD-hardware van na 2013. Ook weten we dat Intel-hardware voor Sandy Bridge kwetsbaar was.

Dan blijven er wel erg weinig realistische opties over.
En was het al niet zo dat EUFI in het verleden ervoor zorgde dat non-Windows besturingssystemen niet konden worden ge´nstalleerd met EUFI aan komen er de laatste tijd meer beperkingen uit waardoor alternatieve besturingssystemen soms helemaal niet kunnen worden ge´nstalleerd. Bijvoorbeeld als de fabrikant besluit om de optie om EUFI uit te schakelen niet toe te staan.
Je bedoelt waarschijnlijk UEFI.

UEFI is een meer modulaire BIOS. De meeste UEFI implementaties op desktops en laptops hebben ook een legacy BIOS mode, waardoor oud spul erop kan draaien. Modernere systemen en tablets hebben vaak een meer beperkte UEFI implementatie zonder legacy BIOS. Dat is op zich niet erg: Linux kan bijvoorbeeld gewoon via UEFI opstarten.

Het wordt pas erg als de UEFI implementatie gekortwiekt wordt. Een voorbeeld waar ik zelf ervaring mee heb is de bootloader van de Dell Latitude 10, een Windows tablet waar alleen versie 8(.1) of 10 op draait. De UEFI implementatie is zo brak dat iets anders dan Windows opstarten niet lukt. Ja, een UEFI boot loader kan je nog net starten, maar vanuit die boot loader kan je vervolgens geen andere bestanden laden. En de Linux kernel direct opstarten via de UEFI stub werkt echt niet.
Volgens mij komt het eerder door Secure Boot dat je niets anders dan Windows kan opstarten. :?
Volgens mij komt het eerder door Secure Boot dat je niets anders dan Windows kan opstarten. :?
Je kan gewoon Linux opstarten met Secure Boot. Een voorbeeld. Daarnaast kan je Secure Boot op PC's meestal uitschakelen. Alleen op goedkope/embedded systemen gaat dat soms niet.

[Reactie gewijzigd door The Zep Man op 5 oktober 2016 16:19]

Ten eerste je bedoelt hier denk ik EFI, geen idee wat eufi is. Ten tweede, bij gebruik van EFI is er dus geen bios, dus hoe je toegang toe een bios kunt krijgen door EFI is mij een raadsel ;) Verder zie ik geen reden waarom non-windows besturingssystemen niet meer geinstalleerd zouden kunnen worden door EFI. Nog sterker, OS-en zoals Linux en OSX ondersteunen EFI al veel langer dan Windows.

Wat je denk ik bedoelt, is dat het met EFI mogelijk is om te vereisen dat de bootlader van een OS signed is. Hierdoor zou het potentieel lastiger worden om bv Ubuntu te installeren, omdat de bootloader daarvan niet signed is. Maar dit probleem is op te lossen door de key van Ubuntu toe te voegen, of door de check uit te zetten.

Dit klinkt een beetje als een storm in een glas water, als een aanvaller al lokale access heeft, dan ben je toch al verloren!
Je bedoelt UEFI, niet EUFI.
Ik denk dat dat wel meevalt. Zonder Intel Management Engine en Intel Boot Guard kan je een x86 niet eens meer draaien sinds Core 2 Duo.
De Bios is ook niet heilig.. Diverse Bios bouwers bieden tooling aan om via je windows machine je bios te updaten. Sterker nog er zijn zelfs RSAT tools voor te vinden.
Intel waarschuwt voor kwetsbaarheid in bios NUC-computers
en vervolgens de eerste regel:
Om de kwetsbaarheid te misbruiken, moet een aanvaller toegang hebben tot het lokale admin-account.
Kan aan mij liggen maar dan ben je er toch al?

[Reactie gewijzigd door Xm0ur3r op 5 oktober 2016 14:17]

Niet noodzakelijk. Niets belet mij hier bijvoorbeeld op het werk om mijn computer vanaf een USB stick op te starten. Vanaf die stick kan ik deze bug misbruiken om uiteindelijk de beveiliging op de Windows installatie op de HDD te gaan be´nvloeden dankzij deze bug.
Ah zo had ik het nog niet bekeken inderdaad!
Geen wachtwoord nodig om boot drive te veranderen?
Kan aan mij liggen maar dan ben je er toch al?
In theorie kan een stuk malware op een laag niveau de "begin met een schone installatie van het besturingssysteem om de hardware weer bruikbaar te maken" oplossing onderuit halen wanneer een kakelverse installatie meteen weer ge´nfecteerd wordt. Het is dus een slagje erger. Je hebt wel gelijk dat als er al admin/root rechten verkregen zijn, dat je het systeem in diens huidige staat als verloren moet beschouwen. ;)

[Reactie gewijzigd door The Zep Man op 5 oktober 2016 14:39]

Je kan toch standaard als Admin niet in de BIOS/EFI komen?

Denk dat hiermee wordt bedoeld dat je met de exploit, zoals ook in artikel aangeven, met 'weinig moeite' (zonder PC te starten in BIOS) rootkits kunt installeren of encryptie sleutels kunt verkrijgen, niet echt iets wat je wilt hebben.

Zeg dat 90% van de thuisgebruikers als Admin runnen.. :/
Tegenwoordig zijn thuisgebruikers ook interessant, hoeveel data kan bijvoorbeeld tegen je gebruikt worden.
Bij bedrijven zal dat hopelijk allemaal wat beter geregeld zijn, maar erg fijn is het niet.

[Reactie gewijzigd door archie2012 op 5 oktober 2016 17:14]

Dit is misschien de enigste reden om je product na aankoop te registeren. Ik doe het nooit... Maar zo krijg je waarschijnlijk die waarschuwing wel in je mail.
Ik denk dat het een hele goeie reden is. Of het ook een mooie (of bedoel je toch enige? ;) reden is weet ik niet.
Wat bezielt Intel om de fout in UEFI aan te duiden als een fout in BIOS? Die NUC's hebben geen BIOS. Als zelfs intel UEFI en BIOS door elkaar haalt, kun je de rest van de sector het niet kwalijk nemen als zij het hebben over UEFI BIOS.

En de zelf exploit zelf is een oude. Je kunt er vanuit gaan dat de meeste UEFI systemen deze bug aan boord hebben. Firmware updates worden zelden door gewone gebruikers toegepast. Dat deze exploit in zeer nieuwe producten terug te vinden is van Intel zelf, is opmerkelijk. Na alle ophef eerder dat de SMM benaderbaar zou zijn in veel UEFI implementaties, zou je toch verwachten dat met nadruk Intel dit nooit meer zou laten gebeuren in toekomstige uitgaven van UEFI.

Dat er een lokaal admin account gebruikt moet worden om tot SMM toegang te krijgen kan niet echt een drempel genoemd worden. Hoeveel gebruikers van Windows gebruiken hun eigendom onder een user account?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True