Sårbarhet i fast programvara hos moderna datorer avslöjar krypteringsnycklar

Helsingfors, Finland – 13 september 2018: Konsulter från cybersäkerhetsleverantören F-Secure har upptäckt en sårbarhet i moderna datorer som angripare kan använda till att stjäla krypteringsnycklar och annan känslig information. Upptäckten har fått experterna att varna datorleverantörer och användare om att de nuvarande säkerhetsåtgärderna inte räcker för att skydda data i borttappade eller stulna bärbara datorer.

Angripare behöver fysisk tillgång till datorn innan de kan utnyttja sårbarheten. Men F-Secures Principal Security Consultant Olle Segerdahl säger att när de lyckats kan en angripare genomföra en framgångsrik attack på cirka fem minuter.

”Ofta är företag inte förberedda på att skydda sig mot en angripare med fysisk tillgång till en företagsdator. Och för säkerhetsproblem som förekommer på enheter från stora datortillverkare, exempelvis de sårbarheter som mitt team har lärt sig att utnyttja, måste man anta att många företag har en svag länk i sitt säkerhetsarbete som de inte är helt medvetna om eller förberedda på att hantera”, sade Segerdahl.

Svagheten gör det möjligt för angripare med fysisk tillgång till en dator att utföra en kallstartsattack, en metod som varit känd av hackare sedan 2008. Kallstartsattacker innebär att starta om en dator utan att följa den rätta avstängningsprocessen och sedan återställa data som blir tillfälligt åtkomliga i RAM-minnet efter att strömmen kopplats från.

Moderna datorer skriver numera över RAM-minnet specifikt för att förhindra angripare från att använda kallstartsattacker för att stjäla data. Segerdahl och hans team har dock upptäckt att det finns en metod för att inaktivera överskrivningsprocessen och utföra den gamla kallstartsattacken.

”Det kräver några extra steg jämfört med den klassiska kallstartsattacken men det fungerar på alla moderna bärbara datorer som vi har testat. Och eftersom denna typ av hot främst är relevant i scenarier där enheter stjäls eller angriparen kommit över dem på olaglig väg finns det gott om tid att utföra attacken”, förklarade Segerdahl.

Attacken utnyttjar det faktum att inställningarna i den fasta programvaran som styr beteendet för startprocessen inte är skyddade mot manipulering av en fysisk angripare. Med ett enkelt maskinvaruverktyg kan en angripare programmera om det icke-flyktiga minneschippet som innehåller dessa inställningar, inaktivera överskrivningen av minnet och aktivera en systemstart från externa enheter. Kallstartsattacken kan sedan utföras genom att starta ett specialprogram från ett USB-minne.

”Eftersom den här attacken fungerar på den typ av bärbara datorer som många företag använder kan de inte känna sig säkra på att deras data är skyddade om en dator förloras. Och eftersom 99 procent av alla bärbara företagsdatorer innehåller sådant som inloggningsuppgifter till företagsnätverk får angripare en pålitlig metod för att utsätta företagsdatorer för risk”, sade Segerdahl. ”Det finns inte heller någon enkel lösning på problemet så det är en risk som företag får hantera på egen hand.”

Segerdahl har delat med sig av teamets resultat med Intel, Microsoft och Apple för att hjälpa datorbranschen att förbättra säkerheten i nuvarande och framtida produkter.

Eftersom Segerdahl inte förväntar sig några omedelbara åtgärder från branschen rekommenderar han att företag förbereder sig på dessa attacker. En metod är att konfigurera bärbara datorer för att automatiskt stängas av/gå i djup vila istället för att vänteläget aktiveras, och att kräva att användare anger Bitlocker PIN varje gång Windows startas eller återställs. Det är även viktigt att göra medarbetare, i synnerhet chefer och medarbetare som reser mycket, medvetna om kallstartsattacker. IT-avdelningar behöver även ha en incidentplan för att hantera bärbara datorer som stjäls.

”En snabb åtgärd som gör inloggningsuppgifterna ogiltiga gör stulna bärbara datorer mindre värdefulla för angripare. IT-säkerhetsansvariga och team som hanterar incidenter behöver öva på detta scenario och se till att företagets personal vet att de ska meddela IT-avdelningen omedelbart om en enhet stjäls eller förloras”, rekommenderar Segerdahl. ”Att planera för dessa händelser är bättre än att tro att enheter inte kan angripas fysiskt av hackare eftersom detta uppenbart inte stämmer.”

Segerdahl och hans kollega, Pasi Saarinen, säkerhetskonsult på F-Secure, presenterar sina resultat vid SEC-T-konferensen i Sverige 13 september och vid Microsofts BlueHat v18-konferens i USA 27 september.

 

Mer information Microsofts dokumentation om Bitlocker-motåtgärder

F-Secures blogg: Kallstartsattacker är en skrämmande verklighet

 

Om F-Secure

Ingen kan cybersäkerhet som F-Secure. Under de senaste tre decennierna har F-Secure varit ledande inom innovation, samtidigt som man skyddar tiotusentals företag och miljoner människor. Företagets erfarenhet inom klientskydd och upptäckt och hantering av incidenter saknar motstycke och F-Secure skyddar företag och konsumenter från allt från avancerade cyberattacker och dataintrång till utspridda ransomware-infektioner. F-Secure erbjuder sofistikerad teknologi som kombinerar styrkan hos maskininlärning med den mänskliga expertis som finns i deras säkerhetslabb som uppmärksammats världen över i ett koncept de kallar Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cybersäkerhetsbrott än något annat företag och deras produkter säljs över hela världen av fler än 200 bredbandsleverantörer och mobiloperatörer samt tusentals återförsäljare.

Grundat 1988, F-Secure är listat på NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | linkedin.com/f-secure

Presskontakt

Sanna Syrjäläinen

PR Manager, Nordics

+358 408349277
sanna.syrjalainen@f-secure.com

Pressmaterial

Beställ media information från F-Secure

Vi behandlar de personuppgifter som du delar med oss ​​i enlighet med vår integritetspolicy för företag.

Pressarkiv

Per år

Bekanta dig med våra nyheter per år 

Per kategori

Bekanta dig med våra nyheter per kategori