Microsoft wil pc's met Secured-core-label beschermen tegen firmware-aanvallen

Microsoft heeft deze week een nieuwe beveiligingsinitiatief voor Windows-pc's aangekondigd. Pc's met het Secured-core-keurmerk moeten volgens Microsoft en enkele hardwarefabrikanten beschermd zijn tegen gerichte aanvallen op firmware.

Bepaalde apparaten van fabrikanten kunnen in aanmerking komen voor het Secured-core-keurmerk. Deze hardware moet voldoen aan een aantal vereisten voor beveiliging van de firmware. Het gaat dan onder andere om extra bescherming voor encryptiesleutels en identiteitsgegevens. Enkele partners van Microsoft bij het initiatief zijn AMD, Intel en Qualcomm. Het keurmerk is bedoeld voor pc's van medewerkers van bedrijven die gevoelige data behandelen, zoals ziekenhuizen, overheden en financiële instituten. Vooral voor deze bedrijven is beveiliging van de firmware cruciaal.

Volgens Microsoft wordt met het Secured-core-initiatief de beveiliging van identiteit, virtualisatie, het besturingssysteem, de hardware en de firmware gecombineerd. Hierdoor wordt als het ware een extra beveiligingslaag 'onder' het besturingssysteem gevormd. Deze laag dient ter aanvulling op standaardbeveiligingsonderdelen als Secure Boot, de tpm 2.0-module en BitLocker-encryptie, en op de bescherming tegen kernelaanvallen. Secured-core moet zorgen dat aanvallen op de firmware voorkomen worden, waar softwarematige beveiliging dergelijke aanvallen enkel kan opsporen.

Microsoft Secured-core

De technologie maakt onder andere gebruik van Windows Defender System Guard, een systeem dat Microsoft in 2018 in de kern van Windows 10 integreerde en dat de aanwezigheid van een tpm 2.0-chip vereist. Dit systeem beschermt pc's tegen malware door kritieke functies te isoleren tijdens het opstarten. Deze functies omvatten onder andere Credential Guard en Device Guard. Die eerste functie maakt key-systems onbereikbaar voor aanvallers en die laatste voorkomt simpel gezegd het uitvoeren van malware. Eén van de vereisten voor Secured-core pc's is integratie van deze technologie.

Dit doen bedrijven onder andere via dynamic root of trust for measurement, in combinatie met beveiligingsfuncties die in recente chips van zitten verwerkt. Dankzij deze functies is het mogelijk om hardware na het opstarten opnieuw te initialiseren, waarna het besturingssysteem wordt opgestart via vertrouwde en verifieerbare code.

Volgens Microsoft is het aantal gerichte aanvallen op firmware in de afgelopen jaren flink gestegen. Waar in 2016 nog zeven aan firmware-gerelateerde kwetsbaarheden ontdekt waren, ligt dat aantal in 2019 op 414. Daarnaast hebben beveiligingsonderzoekers volgens Microsoft in 2018 ontdekt dat een hackgroep, genaamd Strontium, firmwarekwetsbaarheden uitbuitte om systemen 'in het wild' te besmetten met malware. Deze aanvallen waren moeilijk te detecteren en te verwijderen, dergelijke besmettingen kunnen zelfs blijven spelen wanneer het besturingssysteem opnieuw wordt geïnstalleerd of de hardware wordt vervangen.

Firmware wordt gebruikt om hardware te initialiseren en heeft hogere systeemrechten en -privileges dan de kernel van een besturingssysteem. Dit maakt de firmware een aantrekkelijk doelwit voor hackers. Aanvallen op de firmware kunnen beveiligingsopties van het besturingssysteem of de hypervisor voor virtuele machines omzeilen. Ook kan door een aanval op de firmware secure boot omzeild worden. Door de aard van deze aanvallen, is het moeilijk om te zien of een systeem is getroffen door een aanval op de firmware.

Toename malware op firmware

De toename van firmwarekwetsbaarheden in de afgelopen jaren. Via Microsoft.

Microsoft heeft voor de nieuwe beveiligingsfuncties onder andere gebruik gemaakt van Xbox-drm, vertelt een medewerker van het bedrijf aan ZDNet. Deze technieken zorgen ervoor dat gebruikers niet hun Xbox-consoles kunnen hacken. "Xbox heeft een zeer geavanceerd bedreigingsmodel, omdat we zelfs de gebruiker die in het bezit van de console is niet vertrouwen. We willen niet dat gebruikers de Xbox kunnen hacken zodat ze hun eigen [illegaal gedownloade] games kunnen spelen."

Secured-core maakt zijn introductie in de Surface Pro X for Business van Microsoft, maar zal ook in andere hardware verwerkt worden. De Elite Dragonfly-laptops van HP zullen bijvoorbeeld van deze extra beveiligingslaag voorzien zijn, evenals enkele nieuwe Dynabook-laptops. Ook Dell, Lenovo en Panasonic gaan pc's produceren die aan de beveiligingseisen van Microsoft voldoen.

Een woordvoerder van AMD vertelt aan Tweakers dat de technologie te laat werd geïntroduceerd om deze nog in de aankomende Ryzen Pro-cpu's te verwerken. Het bedrijf vertelt dat de technologieën in next-gen Ryzen-chips verwerkt zullen worden.

Door Daan van Monsjou

Nieuwsredacteur

22-10-2019 • 15:32

42

Lees meer

Reacties (42)

42
42
25
4
1
16
Wijzig sortering
Heeft Microsoft dat in het verleden al niet eens geprobeerd:

https://en.wikipedia.org/..._Computing_Base#Reception

Het hete Palladium en er was toen in 2002 al behoorlijk wat weerstand tegen, big brother enzo ...
Is toen ook volledig afgeketst en in de ijskast gezet ...

[Reactie gewijzigd door TheToolGuy op 27 juli 2024 19:17]

Voor zover ik in je link kan zien gaat het daar om een alles overkoepelend beveiligingssysteem met (en hier komt het) een centraal beheerd access control system. Dat laatste laat alles toe wat er in het "Reception"-stuk genoemd wordt.

Dit artikel gaat echter over een systeem dat er voor kan zorgen dat het in een 'vertrouwde staat' is als het enkele kritieke onderdelen van het systeem opstart. Dit gedeelte van het boot-process is erg interresant voor aanvallers, en dus nuttig om te beschermen. Het heeft niks te maken met centrale controle of iets dergelijks.
Goede ontwikkeling. :)

Ik ben benieuwd of deze beveiliging ook gebruikt kan worden op alternatieve OSen, zoals Linux (Ubuntu).
Ik gok dat het punt is dat ze *juist* die platformen liever niet geïnstalleerd zien worden. Zie ook hoe gesloten oplossingen als de tablets zijn die ze uitbrengen, waar op een sortgelijke beveiliging na prima allerlei andere OS-en op zouden kunnen draaien.

"omdat we zelfs de gebruiker die in het bezit van de console is niet vertrouwen" Van wie is die xbox nou eigenlijk?

[Reactie gewijzigd door killercow op 27 juli 2024 19:17]

Mij lijkt toch juist dat het voorkomen van een aanval op de firmware volledig onafhankelijk is van het OS zou moeten werken om effectief te zijn. Het OS is slechts een stukje software, die moet niet opeens een ongeoorloofde firmware update kunnen doen, ongeacht of het Linux of Windows is.
En welk systeem zou er dan een firmware update moeten doen?
Zelfs cpu's worden door het OS on the fly voorzien van firmware patches als dat nodig is. (In linux iig)
https://github.com/intel/...ssor-Microcode-Data-Files

Als het OS geen updates mag uitvoeren, hoe dan wel? Via de EUfi schil? Want dat is doorgaans ook redelijk linux-achtig, of via een management process (minix based), of een ipmi achtige oplossing? (linux op een losse cpu aan het netwerk)
Die cpu patch wordt niet geflashed maar bij elke start geladen door de kernel. De firmware wordt wel geflashed. Meestal zit er een check in het updateprogramma zelf van de firmware als beveiliging.
Idd, onlangs een tablet binnengekregen: gebruiker kende apple id niet (meer), en het ding zat in 'activeringsslot'. Apple id als vergeten opgeven: geen succes, want door iemand anders ingesteld bij doorverkoop enkele jaren geleden...
Resultaat: vuilbak, want zodanig 'beveiligd' dat je hier niets mee aan kan vangen.

Tegen = "het werkt als ontrading tegen diefstal". Ok, maar er bestaan ook mensen die niets snappen van accounts en wachtwoorden. Deze mensen laten met plezier alles doen door iemand die ze kennen en het Apple id, gebruikte e-mailaccount, wachtwoord,... zal hen worst wezen.

Dit zijn echter ook eigenaars, maar zij hebben geen volledige bevoegdheid over hun toestel.
(Doet me denken aan Android die je ook geen mogelijkheid tot root rechten geeft)

Zeker wij, onder de noemer 'tweakers', moeten tegen dit soort dichttimmeren gekant zijn.
Het is wachten op de eerste medewerker die hiermee zijn ex-baas een hak zet bij gedwongen ontslag.
(Doet me denken aan Android die je ook geen mogelijkheid tot root rechten geeft)
zou zweren dat ik van de week nog m'n ouwe tablet heb geroot.
Ja, het kan, maar het is geen klik op de knop: ze geven je geen root, je moet deze zelf afdwingen.
Hoe ingewikkeld is het nou helemaal om een hardware switch in te bouwen die je fysiek aan moet zetten om de bios of andere firmware te flashen. Netjes onder een klepje onderop je laptop naast het geheugen of zo.
Ik vind het allemaal maar triest geknutsel en weer een extra aanvalsvector, los van het feit dat het onder linux wel weer niet zal werken.
Omdat het probleem van fysieke toegang dan niets minder wordt. Vandaar dat MS hun kennis van de Xbox divisie hier ook bij inzet, waarbij MS na de fiascos van de Xbox en 360, die net als oudere consoles met 2 vingers in de neus om te bouwen waren. En MS heeft alles op alles moeten zetten om het voor de XBO erg lastig te maken. Waar Sony met de PSX en PS2 destijds ook tegen aan liep, geen uitgever wil dan nog games uitbrengen als iedereen thuis een doos vol met die naamloze regenboog glimmende schijfjes heeft liggen.

Want het probleem is de toegang tot de fysieke hardware. En dat is echt enorm moeilijk te beveiligen en wat ze ook willen tegenhouden zijn mod chips, soldeerprojectjes of iets simpels als een hardware switch waar een user met een schroevendraaier bij kan komen.

Er wordt hier juist een aanvalssector eindelijk weggenomen -of een poging daar toe-, de fysieke toegang tot een machine, zonder dat je de toegang tot de hardware zelf hoeft te ontnemen. En laat dit nou een van de moeilijkste aanvalssectoren zijn om dwars te bomen. Laat MS hier nou een boel kennis hebben kunnen opdoen met hun Xbox.

Linux had zelf ook met een oplossing mogen komen en je verwacht nu eigenlijk dat MS hun R&D wederom voor concurrentie gaat toepassen, wat na verloop van tijd geheid nog gaat gebeuren ook.
Het gaat hier niet om DRM of copieerbeveiliging van spelletjes maar om een laptop dus om mijn eigen veiligheid en niet de veiligheid van de inkomsten van een fabrikant.
Ik wil niet dat een virus malware etc de bios of andere firmware infiltreert en dat is uitstekend tegen te houden met een fysieke switch en controle over fysieke toegang doe je met anti tamper stickers.
Het keurmerk is bedoeld voor pc's van medewerkers van bedrijven die gevoelige data behandelen, zoals ziekenhuizen, overheden en financiële instituten. Vooral voor deze bedrijven is beveiliging van de firmware cruciaal.
Dan koop je het niet?

Er is maar weinig tegen te doen als de firmware van de hardware gekraakt is en de malware zich in de firmware van je HDD, GPU, NIC of whatever bevindt. Dan gaat zo'n switch ook bar weinig uithalen. Want als het mogelijk zou zijn om met zo'n switch op ROM niveau te werken, was dat al lang geïmplementeerd. Helaas is firmware weinig anders dan een OS op een lager hardware niveau per component. En die Firmware heeft voor goede werking ook gewoon data en geheugen weg te schrijven, wat op een ROM niet mogelijk is. Waar heb je liever dat een HDD zijn data weg schrijft? Zijn eigen geheugen of die van het systeem? Hoe kan het anders bijhouden waar welke verzameling bitjes zich fysiek bevinden?

Jij gaat dat als Tweaker zonder erg goede security expert te zijn, echt niet beter kunnen weten dan MS. Secured-Core is niet 1 techniek, maar een hele verzameling. Een samenwerking tussen MS en AMD/Intel/Qualcomm die er voor zorgt dat tientallen jaren aan ervaring en tientallen verschillende veiligheidstechnieken als 1 coherent geheel werken. Interessante ontwikkeling en 1 die echt wel nodig is in de velden waar het op gericht is. De zorg, overheden, financiële instellingen etc. Waar zo'n killswitch alles behalve een oplossing is, want zodra een hacker fysieke toegang tot het systeem heeft, is die killswitch enkel decoratief. Dit is in het verleden ook al een keer geprobeerd namelijk, herinner je nog die IBM sleutels?

Anti tamper stickers zijn een beetje zinloos, voor je daar achter komt ligt het systeem dus al open.
Anti tamper stickers zijn er om aan te tonen dat een kritische machine aangetast is, ik gebruik ze ook op buitenlandse dienstreis, sticker verbroken = laptop de schredder in.

Technisch gezien klopt je verhaal maar dat het OS van een harddisk naar het geheugen van de pc moet schrijven en omgekeerd is onzin daar heeft die disk of nic gewoon zijn eigen afgeschermde eeprom voor en daar hoef je van buiten helemaal niet naar te schrijven, hooguit lezen, dus die read only schakelaar is gewoon te implementeren.

Microsoft bakt al die schakelaarjes nu in een stukje software, want handig, en creeert daar in mijn ogen een prachtige aanvalsvector mee.
Jij verwacht dat men in bij de overheid, zorg of financïele organisaties elke dag de kast van het systeem even opengetrokken wordt om te controleren of alle stickers nog wel op de juiste plek zitten?

Want dat is mogelijk door het fysiek van elkaar te scheiden, terwijl het OS met zijn data en de disk wel met elkaar moeten communiceren. "Hè, deze string bitjes moeten ergens kwijt" "Oké, ik zet ze hier ergens neer en ik moet dat wel nog even ergens noteren". Daar zit hoe dan ook een connectie en communicatie tussen en ook daar kunnen exploits in zitten. Tevens heeft opslag tegenwoordig vaak ook updatebare firmware, zoals mijn Samsung Evo SSD bv. Net als het mobo zelf, mijn GPU, de NIC, mijn muis, keyboard, etc. En hier kan een OS allemaal gewoon bij.

Diezelfde anti tamper stickers die al tientallen jaren gebruikt worden en de lokale handige harrie met zijn hardware winkeltje deze gerust doorbreekt en er nieuwe op plakt? Die stickers voorkwamen in het verleden ook het ombouwen van consoles of het aftappen van stroom. Die zekering zegels helpen, maar zijn voor gerichte aanvallen enkel decoratief.

De aanvalssector is er al, MS probeert die nu alleen weg te nemen of iig moeilijker te maken.
Anoniem: 111246 22 oktober 2019 15:51
Zou je dit ook kunnen toepassen in zelfbouw systemen?
Zo ver ik kan zien is alles op elkaar afgestemd. Je hebt sowieso TPM nodig. Komt volgens mij niet voor op losse moederborden?

[Reactie gewijzigd door m3gA op 27 juli 2024 19:17]

Bijna ieder los moederbord heeft een TPM header, dus dat zal geen enkel probleem zijn. Je zult er natuurlijk wel 1 moeten kopen.
Anoniem: 111246 @m3gA22 oktober 2019 19:42
Mijn bord: pricewatch: MSI MPG Z390 Gaming Plus heeft een TPM 2.0 ingebakken.
Theoretisch is er geen fundamentele belemmering. Alleen: het vereist een hoop technische kennis en coordinate van de PC-bouwer en de OS-bouwer, en Microsoft gaat niet met jou coordineren hoe Secured Core op jouw zelfbouw systeem zou moeten werken.
Ik ben een total-leek hier...maar hoe infiltreert zo een malware tot in de firmware ?
Tot op zekere hoogte wordt de software laag op hardware (firmware) steeds dikker.
Waar vroeger je maar een paar commando's had om met je hardware te praten, heeft elk apparaat tegenwoordig legio aan mogelijke aanspreek mogelijkheden.
Met de snelheid waarmee deze worden door ontwikkeld worden er wel eens fouten gemaakt (net als met alles, in hardware kunnen ook verzwakkingen zitten) en door de snelheid waar de ontwikkeling in deze gaat gebeurt dit echt steeds vaker.
Dus het gaat gewoon voor komen dat een firmware een call of communicatie kan ontvangen die daadwerkelijk toe staat de firmware aan te passen.
Denk aan buffer overflows op locaal geheugen of het trucken van een firmware dat een legitieme poging wordt gedaan om te flashen.
Beetje het nadeel van dat veel zaken tegenwoordig via het OS te flashen zijn.
Ik geloof niet dat ik de doelgroep helemaal begrijp. Grote instellingen hebben alles allang gevirtualiseerd. De gebruikers hebben geen PC meer, ze hebben alleen een device die een ICA client of vergelijkbaar draait. De firmware van deze devices is afgeschermd. De PC zelf draait ergens in een data center op een grote server.
Uhuh 🙄180.000 gebruikers hierzo allemaal met een laptop
180.000 gebruikers op laptops die gevoelige data behandelen op die laptops? Hoe kan je dan garanderen dat die gevoelige data veilig is?
Inderdaad, allemaal laptops die gevoelige data “kunnen” bevatten.
Klanten verwachten nagenoeg allemaal “encryption at rest” en daar voldoen al onze servers en end-points aan. Nog geen enkele klant geweten die daar bezwaren over maakt.
Beter nog dat is nagenoeg de enige voorwaarde die ze opleggen.
In hoeverre zal dit bijvoorbeeld tegenhouden om Intel's ME onklaar te maken wanneer je je eigen bootloader wilt flashen?

Grappig trouwens dat ze in de foto een laptop tonen met een desktopmoederbord. Success met je geheugenmodules op zo'n manier in een platte behuizing te krijgen
Er zijn al open source mogelijkheden om Intel's ME uit te schakelen en toch eigen baas te blijven over je eigen veilige HW en SW. Een alternatief wordt o.a. geboden door PureOS zie: https://puri.sm/posts/pureboot-best-practices/

Alles is beter dan een gevangene van MS te worden (of te blijven).
Daar ben ik mee bekend, en dat is ook precies de reden van mijn vraag. In hoeverre zal het flashen van bijvoorbeeld Coreboot (ook van Purism) nog steeds mogelijk zijn op een apparaat met een Secured-core-label?
Uiteraard compleet niet. Het staat er haaks op. In een secure omgeving is geen enkel deel van de beveiligde keten te vervangen door ongecertificeerde software van derde partijen.

Uiteraard kan Purism een equivalente keten opzetten, en dan kan je Coreboot niet vervangen door Microsoft's SecuredCore firmware. Het werkt twee kanten op.
Op mijn laptops heb ik Secure Boot uitgeschakeld. Ik ga Microsoft en Intel niet om toestemming vragen om de software te draaien die ik erop wil draaien. De overige x86 systemen die ik heb, zijn nog uit het BIOS tijdperk. Die doe ik ook niet meer weg.

En in de tussentijd kijk ik naar andere hardware waar AMD, Intel, Qualcomm, Microsoft, Apple en Google niets mee te maken hebben gehad. Het is eigenlijk te gek voor woorden dat al deze bedrijven tegenwoordig totale controle willen hebben over onze hardware.
En in de tussentijd kijk ik naar andere hardware waar AMD, Intel, Qualcomm, Microsoft, Apple en Google niets mee te maken hebben gehad.
Dus je wilt een systeem met een cpu, niet gemaakt door AMD, Intel of Qualcomm? Succes daarmee.
Dank je wel. Ik heb al genoeg systemen met processoren die niet door AMD, Intel of Qualcomm gemaakt worden en dat zullen er alleen maar meer worden.
wat voor cpu's zitten daar dan in en welk os draait erop?
ARM, POWER, SPARC en MIPS chips en als besturingssystemen Linux, Openindiana en verschillende BSD's. Ik heb een x86 laptop waarop ik Debian, RHEL en Windows 10 heb staan, waarbij ik de laatste zelden gebruik.
Vergeet de open-source RISC-V CPU niet, onder andere Alibaba, Google, Nvidia, NXP, Samsung en Western Digital investeren hier in. Zo gaat Nvidia ze in GPU's gebruiken en het European Processor Initiative (EPI) is er zelfs mee bezig om een supercomputer te bouwen.

ARM en x86 gaan hier zeker last van krijgen, al is het maar omdat Aziatische partijen een alternatief nodig hebben om politieke redenen:
https://technode.com/2019...eliance-on-us-technology/

Verder biedt de optie een ander platform te kiezen leverage t.o.v. ARM en Intel.
Zie ook https://www.golem.de/news...zen-wird-1910-141978.html

[Reactie gewijzigd door bvdli op 27 juli 2024 19:17]

RISC-V vergeet ik inderdaad niet, maar het is nog even wachten op betaalbare hardware. Ik heb eerder dit jaar mensen bij SiFive gesproken en ze vertelden me dat er dit jaar nog Pi-achtige SBC's zouden komen.

In de tussentijd draai ik Fedora Rawhide in QEMU en ik hoop dat er tegen de tijd dat Fedora 32 uitkomt, officiële ondersteuning is voor RISC-V in zowel Fedora als Debian. Ik volg de ontwikkelingen qua hardware en software met grote interesse. Ik ben ook wel benieuwd wat er uit het Shakti project komt.

[Reactie gewijzigd door psychicist op 27 juli 2024 19:17]

En ARM TrustZone is blijkbaar geen issue?
ARM TrustZone is een faciliteit die gebruikt kan worden, maar niet noodzakelijkerwijs gebruikt hoeft te worden. Voor mijn Orange Pi met Allwinner A64 is alle code vrij beschikbaar van Trusted Firmware, u-boot, de kernel tot applicaties en ik hoef niemand om toestemming te vragen om de software te draaien die ik wil.
Niet. De enige die hardwarematige bescherming tegen Intel ME heeft ingebouwd is HP met Sure Start G5 welke overigens veel verder gaat dan Secure Core van Microsoft.

Op dit item kan niet meer gereageerd worden.