Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers kraken implementaties secure boot-modus Windows 8

Door , 38 reacties

Drie beveiligingsonderzoekers hebben meerdere beveiligingsproblemen in de Windows 8-secure boot-implementatie van fabrikanten gevonden, waardoor ze een bootkit konden installeren. In ieder geval een type Vevobook van Asus is getroffen.

De onderzoekers, die hun bevindingen op de Black Hat-beveiligingsconferentie in Las Vegas uit de doeken deden, wisten eigen firmware naar de uefi-chips te schrijven. Normaliter mag dat enkel gebeuren vanuit de system management mode van de uefi-chips, die is bedoeld om de firmware op de chips bij te werken, maar de onderzoekers wisten dat te omzeilen.

Het lek in de Vevobook is niet de enige kwetsbaarheid die de onderzoekers in Secure Boot-implementaties hebben ontdekt, maar ze willen niet ingaan op de andere kwetsbaarheden, omdat die op dit moment nog niet zijn opgelost. "Maar we hebben meerdere bugs in meerdere implementaties gevonden", zo zegt een van de onderzoekers, Yuriy Bulygin, tegenover Tweakers.

De fouten liggen niet bij de uefi-chip zelf, die wordt gebruikt om het secure boot-proces te starten, en ook Windows 8, dat het andere einde van het secure boot-proces vormt, valt niets te verwijten: het gaat mis in de firmware-implementatie van de fabrikant.

Tijdens de presentatie op Black Hat toonden de onderzoekers hoe ze op een Vevobook een batch-bestand met powershell-instructies startten, waarna secure boot werd uitgeschakeld. Vervolgens konden ze eigen software op de chip installeren, en krijgen aanvallers op diep niveau toegang tot het besturingssysteem. Zo kan de encryptie van een schijf worden omzeild. Om dat lek te misbruiken, is het echter ook nodig om een lek in de Windows-kernel te misbruiken, waardoor de kwetsbaarheid voor doorsnee aanvallers enkel te misbruiken is op verouderde Windows-installaties. Fouten in volledig gepatchte Windows-installaties worden voor veel geld op de zwarte markt verhandeld.

In de overige secure boot-implementaties vonden de onderzoekers echter ernstigere lekken, waarvoor geen toegang tot de kernel vereist was. Bovendien hoefde secure boot in deze gevallen niet te worden uitgeschakeld: de onderzoekers konden terwijl secure boot aan stond, eigen firmware naar de chip schrijven. Hoe die lekken er precies uitzien en hoe de aanvallers de kwetsbaarheden op het spoor zijn gekomen, willen ze pas naar buiten brengen als de kwetsbaarheden zijn opgelost.

De mededeling bij het opstarten die de onderzoekers installeerden met hun hack.

Vorig nieuwsartikel Volgend nieuwsartikel

Joost Schellevis

Redacteur

31 juli 2013 22:48

38 reacties

Linkedin Google+

Lees meer

Microsoft laat policies voor omzeilen Secure Boot uitlekken 10 augustus 2016
Zeroday-lek in uefi-driver treft mogelijk meer laptops dan ThinkPads 4 juli 2016
Beveiligingsonderzoekers vinden nieuwe kwetsbaarheid in uefi 28 december 2014
'Fastboot van Windows 8 hindert installatie alternatief OS' 29 mei 2013
Linux Foundation brengt bootbestanden voor secure boot uit 10 februari 2013
Fedora Project brengt final van Fedora 18 uit 15 januari 2013
Tool maakt draaien x86-code op Windows RT-tablets mogelijk 11 januari 2013
Developer geeft Linux-bootloader voor secure boot vrij 2 december 2012
Meer producten en artikelen (5)
Beheer en beveiliging

Reacties (38)

-Moderatie-faq
-138036+125+22+30Ongemodereerd3
Wijzig sortering
+1 ksinix
31 juli 2013 23:45
Ik ben helemaal geen voorstander van uefi / secure boot. Het is zo propretary als de pest en lost weinig van de bios problemen op. Drivers worden nog steeds 2x geschreven, het berust op drm, enz. Geef mij maar Coreboot. Ook dat heeft problemen, maar het is wel een verbetering op bios en is open source.
+2 80466
@ksinix1 augustus 2013 09:32
. Het is zo propretary als de pest en lost weinig van de bios problemen op
UEFI is gebaseerd op de proprietary EFI formaat van Intel maar is inmiddels geen proprietary formaat meer maar een soort industry brede standaard specificatie beheerd door een alliantie van IT bedrijven waaronder AMD, Apple, Dell, HP, IBM, Intel, Lenovo en Microsoft.
Secure boot is een onderdeel van die specificatie sinds versie 2.2.
+2 ksinix
@804661 augustus 2013 12:36
Je had me nieuwsgierig gemaakt. Dus ik naar de site http://www.uefi.org/specs/agreement gegaan om de specs te downloaden. Willen ze eerst dat ik mezelf bekend maak....
Nou ja, toch maar ingevuld en het gedownload. Blijkt dat UEFI 2.4 spec 2226 pagina's bevat !
Waarom maken ze het toch zo complex?
Hetzelfde voor bv MS met de Office Open Specs van ik dacht ~7000 pagina's, terwijl die van ODF het met ~800 af kan.
Het is een staaltje Corporate America wat we hier zien. Voornamelijk bedoeld om de concurrentie het zo lastig mogelijk te maken.
0 Davey400
@ksinix1 augustus 2013 21:49
Het is een staaltje Corporate America wat we hier zien. Voornamelijk bedoeld om de concurrentie het zo lastig mogelijk te maken.
Integendeel.
Je hebt tegenwoordig op de meeste readers een zoekfunctie. Je mag er redelijkerwijs vanuit gaan dat in deze 'dikke' specificaties dan ook echt alles staat.

Niet alles is per definitie verdacht....
+1 Squ1zZy
31 juli 2013 22:56
"De fouten liggen niet bij de uefi-chip zelf, die wordt gebruikt om het secure boot-proces te starten, en ook in Windows 8, dat het andere einde van het secure boot-proces vormt, valt niets te verwijten: het gaat mis in de firmware-implementatie van de fabrikant."

Dit moet zijn "ook NIET in Windows 8"? Ik vind de titel dan wat verwarrend. Dacht juist dat het aan Windows 8 lag, maar het problem zit het hem blijkbaar in de "firmware".

Het probleem zit hem hem dus alleen in de Asus Zenbook die met een UEFI firmware update opgelost kan worden?

Ben wel benieuwd hoe deze zin moet eindigen:
"De onderzoekers raden fabrikanten aan om het geheugen van"

Fabrikanten? Het is alleen Asus waar het om gaat...

[Reactie gewijzigd door Squ1zZy op 31 juli 2013 23:02]

+1 Nha
@Squ1zZy1 augustus 2013 12:28
"De fouten liggen niet bij de uefi-chip zelf, die wordt gebruikt om het secure boot-proces te starten, en ook in Windows 8, dat het andere einde van het secure boot-proces vormt, valt niets te verwijten: het gaat mis in de firmware-implementatie van de fabrikant."

Dit moet zijn "ook NIET in Windows 8"? Ik vind de titel dan wat verwarrend. Dacht juist dat het aan Windows 8 lag, maar het problem zit het hem blijkbaar in de "firmware".
Nee.
"en ook in Windows 8, <extra zin>, valt niets te verwijten"
---
Het probleem zit hem hem dus alleen in de Asus Zenbook die met een UEFI firmware update opgelost kan worden?

Fabrikanten? Het is alleen Asus waar het om gaat...
Nee.
Het lek in de Zenbook is niet de enige kwetsbaarheid die de onderzoekers in Secure Boot-implementaties hebben ontdekt, maar ze willen niet ingaan op de andere kwetsbaarheden, omdat die op dit moment nog niet zijn opgelost. "Maar we hebben meerdere bugs in meerdere implementaties gevonden", zo zegt een van de onderzoekers, Yuriy Bulygin, tegenover Tweakers.
"In de overige secure boot-implementaties vonden de onderzoekers echter ernstigere lekken, waarvoor geen toegang tot de kernel vereist was."
Lezen is leuk.
0 Finraziel
@Squ1zZy31 juli 2013 23:02
Jouw versie klopt ook niet, het woordje 'in' moet weg, dan klopt het.
En nee, een van de zenbooks heeft het probleem, ook andere laptops hebben problemen, en zoals het artikel aangeeft zijn die ernstiger. Op de zenbook heb je kernel toegang nodig, bij andere implementaties niet en hoeft de secure boot niet uitgezet te worden.
+1 Squ1zZy
@Finraziel31 juli 2013 23:04
"Het lek in de Zenbook is niet de enige kwetsbaarheid die de onderzoekers in Secure Boot-implementaties hebben ontdekt, maar ze willen niet ingaan op de andere kwetsbaarheden, omdat die op dit moment nog niet zijn opgelost."

Ik lees hier dat er meer kwetsbaarheden zijn gevonden in de secure boot-implementatie van de Zenbook. Geldt dit ook voor andere modellen dan?
+1 Finraziel
@Squ1zZy31 juli 2013 23:11
In het artikel wordt gesproken over fabrikanten, meervoud, maar de onderzoekers willen nog niet ingaan op de andere lekken buiten die op de zenbook omdat die lekken nog niet opgelost zijn.
+1 johnkeates
31 juli 2013 23:05
doorsnee aanvallers
Dat is ook het enige waar je je tegen beveiligt als je Windows gebruikt, en secure boot. En bijvoorbeeld een TPM.

Je kan patchen en updaten wat je wil, maar je hebt a) de controle over het systeem gewoon niet, en b) kan je de leverancier gewoon nooit 100% vertrouwen.

Daarnaast is de kans natuurlijk wel klein dat je iets hebt waarbij een meer-dan-doorsnee aanvaller moeite wil steken in het kraken van je systeem. Als er niks te halen is, en je tegen 'doorsnee aanvallers' beschermd bent, kan je er van uit gaan dat je systeem niet tien keer per seconde succesvol aangevallen wordt. In alle andere gevallen ben je gewoon de pineut. Behalve als je geen doorsnee systeem hebt, wel 100% controle hebt en wel 100% kan vertrouwen op je systeem. Maar dan zal je niet met Microsoft software bezig zijn. En ook niet met die van Apple, of een andere leverancier/fabrikant.
+1 Dreamvoid
@johnkeates31 juli 2013 23:35
Zelfs als je als volslagen paranoide je eigen Linux distro library voor library zelf compiled, dan nog ben je afhankelijk van de kwaliteit van andermans code, en dan heb ik het nog niet eens over de firmware in je gpu, cpu, mobo, geluidschip, USB controller, etc die ook kwetsbaar kan zijn.
+1 ksinix
@Dreamvoid1 augustus 2013 08:05
Als je op het niveau van John Keates bezig bent (niet negatief bedoeld), dan zal Linux ook niet voldoen. Dit is veel te groot. Dan ben je beter uit met OpenBSD. De code hiervan is ge-audit en compact (mede door het auditen waarschijnlijk). Of iets als Plan9.

[Reactie gewijzigd door ksinix op 1 augustus 2013 08:06]

0 johnkeates
@Dreamvoid1 augustus 2013 18:58
Ja, maar je kan ook gewoon je eigen firmware schrijven. En de code auditen he. Er zijn gewoon standaard procedures voor dat soort dingen.

Net als dat je ook op hardware niveau dat soort dingen kan doen. Het is niet voor niets dat bepaalde landen bepaalde chips zelf ontwerpen en fabriceren. Uitbesteden is leuk, en mainstream is lekker makkelijk, maar soms is dat geen optie.
+1 Passeridae
31 juli 2013 22:50
het gaat mis in de firmware-implementatie van de fabrikant.
Dat is wel een nadelige natuurlijk. In de praktijk betekent dit dat een deel van de pc's permanent kwetsbaar zal blijven en er misschien implementaties in the wild rond gaan lopen.

Om iets in het geheugen te injecteren zal je (vermoed ik) nog wel admin-permissies nodig hebben onder Windows 8 maar een deel van de beveiliging wordt hiermee wel ondermijnd. Met name de politievirussen vonden het kapen van het MBR een interessante aanval, die met Windows 8 en UEFI voor zover ik weet niet meer mogelijk is.

[Reactie gewijzigd door Passeridae op 31 juli 2013 22:51]

+1 marking
@Passeridae31 juli 2013 22:56
Kennelijk staat de firmware toe dat er data naar geschreven wordt, dan zal het voor de fabrikant ook wel mogelijk zijn om een fix hiervoor uit te brengen, en mogelijk uit te rollen via Windows Update.
Zolang deze nog niet in het wild is gebruikt zal er wel geen probleem zijn. Het feit dat meestal malware wordt gemaakt die een zo groot mogelijke doelgroep heeft, maakt deze bug lijkt redelijk beperkt....

Het geeft echter wel een flinke imago deuk aan "secure boot", dat al niet zo populair is.
0 flightdude
@marking1 augustus 2013 09:55
Zeggen dat het beprekt is, is zoiets als Security by obscurity. Niet goed om daar op te vertrouwen.

[Reactie gewijzigd door flightdude op 1 augustus 2013 09:56]

+1 Loller1
31 juli 2013 23:33
Hoewel het probleem niet in Windows 8 zit vraag ik mij af: daar fabrikanten altijd lekker laks zijn in het updaten van dit soort software, zou het niet mogelijk zijn voor Microsoft om dit zelf te patchen door middel van een update aan Windows 8?
+1 gjmi
@Loller131 juli 2013 23:40
Nee, het probleem zit in de firmware van de
moederborden. Daar kan Microsoft (via Windows) niets aan doen.

Ik heb trouwens al veel updates gehad van mijn Asus moederbord firmware. Ze zijn niet erg laks of traag. Maar die vele updates zijn op zich ook wel een slecht teken. En je moet er wel zelf naar op zoek gaan. Geen automatische updates of notificatie.
+1 isama
31 juli 2013 23:30
Een bashbestand met powershell instructies.. goed, laten we dat testen..

#!/bin/bash
Write-Output "Hello World"

/tmp/powershell.sh: line 2: Write-Output: command not found


Knap dat ze zo een exploit konden schrijven.
0 gjmi
@isama31 juli 2013 23:43
Zucht.... Je gaat wel erg kort door de bocht. Je zult wel meer acties moeten uitvoeren, maar dat zullen ze in zo'n bericht als dit niet tot in detail weergeven.
+1 Pizzalucht
@gjmi1 augustus 2013 00:38
Volgens mij doelt hij op het feit dat powershell instructies niet werken in een bash bestand ;)

Beetje vaag gebracht, dat wel...

[Reactie gewijzigd door Pizzalucht op 1 augustus 2013 00:39]

0 onlinegangster
@isama1 augustus 2013 01:06
Ja zat ik ook al naar te kijken, beetje vaag inderdaad
0 Zarc.oh
@isama1 augustus 2013 08:46
Het is inderdaad vaag beschreven, maar je zou het ook zo kunnen lezen:
een bash-bestand, met powershell-instructies
:+
Wat een mogelijkheid zou kunnen zijn, is dat de firmware alleen .sh bestanden toestaat om op te slaan en dat er onder Windows powershell.exe -file bash.sh uitgevoerd kan worden.
Dit is verder natuurlijk pure speculatie, omdat er nogal weinig info beschikbaar is :P

[Reactie gewijzigd door Zarc.oh op 1 augustus 2013 08:47]

+1 Dreamvoid
31 juli 2013 23:04
Een keten is zo sterk als zijn zwakste schakel natuurlijk. Voordeel is dat je specifieke systemen met lekke firmware implementatie kan blacklisten en zo buiten je bedrijfs laptopcollectie houden.

Voor bedrijven die secure boot als (1 van de) beveiligingstechnieken gebruiken, betekent dit gewoon dat je deze Zenbooks terugstuurt naar Asus en bij een concurrent een betere laptop koopt.

[Reactie gewijzigd door Dreamvoid op 31 juli 2013 23:08]

+1 [Yellow]
1 augustus 2013 00:26
Het hele secure boot is maar vanwege één reden bedacht: windows was het makkelijkst te kraken via de bootloader. Oplossing MS: andere bootloader.
Dat daarbij andere OS-en ook even buitengesloten werden kwam uiteraard alleen maar mooier uit.

Offtopic: de tekst op de slide van de foto is ook heel erg mooi: By booting this system up you agree to have no expectation of privacy ..... any communications or data may be monitored, intercepted, recorded and may be disclosed for any purpose.

Ze zijn natuurlijk wel een beetje jaloers op dat PRISM daar op die black hat conferentie :P
0 LopendeVogel
@[Yellow]1 augustus 2013 07:12
Nou heel dat Prism noem ik een beveiligingsprobleem, vreemde is dat er geen 1 onderzoeker erachter gekomen is dat het hele westblok gefilterd etc word. Of speelt dat onder 1 hoedje?
+1 trolloos
1 augustus 2013 03:53
Is er geen video van de persconferentie?
Dit is het enige wat ik vond:
https://www.blackhat.com/us-13/archives.html#Bulygin
+1 Wodanford
1 augustus 2013 08:31
Onderzoekers kraken implementaties secure boot-modus Windows 8
Windows 8, dat het andere einde van het secure boot-proces vormt, valt niets te verwijten
Om dat lek te misbruiken, is het echter ook nodig om een lek in de Windows-kernel te misbruiken
Speelt Windows nu wel een rol in het geheel, of niet? Deze citaten maken het er voor mij niet duidelijk op; wel - niet - wel.

Edit; haakje vergeten.

[Reactie gewijzigd door Wodanford op 1 augustus 2013 08:32]

1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*