Noll
Säkerhet forskare kommer att redogöra närmare för i dag en ny variant av en kall start attack som kan blanda sig med datorns inbyggda programvara för att inaktivera säkerhetsåtgärder och tillåta en angripare att återhämta sig känsliga data som lagras på datorn, såsom lösenord, företags-filer, och mer.
Attacken, som presenteras idag på en security conference, är en variant av gamla kall start attacker, känd för nästan ett decennium.
Kall start attacker är när en angripare tvingar en dator reset/omstart och sedan stjäl all data kvar i minnet.
Alla kall start attacker kräver fysisk tillgång och speciell hårdvara verktyg för att utföra, och är i allmänhet inte anses vara ett hot vektor för vanliga användare, men bara för datorer lagra mycket känslig information, eller för högt värde individer som statliga tjänstemän eller företagare.
Under åren, OS beslutsfattare och maskinvaruleverantörer har skickat olika skyddsåtgärder för att minska påverkan av kall start attacker, även om de inträffar. En av dessa skydd var att datorerna skulle skriva över innehållet i RAM-minnet när strömmen var tillbaka efter en kall start.
Även Sårbarheter som finns i remote management interface för Supermicro servrar
Men säkerhet forskare från finska it-säkerhetsföretaget F-Secure har upptäckt att de kan inaktivera den här funktionen genom att ändra inställningar i den fasta programvaran för att stjäla data från en dators RAM-minne efter en kall omstart.
Precis som alla tidigare kall start attacker, deras metod kräver fysisk tillgång och ett speciellt verktyg för att extrahera överblivna RAM. En video av en av de forskare som utför deras variant av attacken är inbäddad nedan.
“Det är inte precis lätt att göra, men det är inte ett tillräckligt hårt frågan om att hitta och utnyttja för oss att ignorera sannolikheten att några anfallare har redan listat ut detta,” sade F-Secure Huvudsakliga Säkerhet Konsult Olle Segerdahl, en av forskarna.
“Det är inte exakt den typ av sak som angripare som söker enkla mål kommer att använda. Men det är sånt som angripare som söker större phish, som en bank eller ett stort företag, vet hur man använder”, tillade han.
Också: OpenSSL 1.1.1 ut med TLS 1.3 stöd och “fullständig omskrivning” av RNG komponent
De två forskarna säger att denna metod kommer att arbeta mot nästan alla moderna datorer. De har redan anmält Microsoft, Intel och Apple av sina resultat.
Microsoft svarade genom att uppdatera sin BitLocker vägledning samtidigt som Apple sagt att alla enheter som använder en T2-chip är inte sårbara.
Under tiden, Olle och Pasi rekommenderar att systemadministratörer och IT-avdelningar att konfigurera alla företagets datorer för att antingen stänga av eller viloläge (inte i viloläge) och kräver att användarna anger sina BitLocker-PIN när de driva upp eller återställa deras datorer.
De två säger kall start attacker –såsom deras variation– kommer att fortsätta att arbeta, men genom att kryptera hårddisken via BitLocker eller en annan liknande system, detta begränsar den mängd data som en angripare kan återhämta sig.
“Krypteringsnycklar inte lagras i RAM-minnet när en maskin viloläge eller stängs av. Så det är ingen värdefull information för en angripare att stjäla,” F-Secure sade i ett pressmeddelande i dag.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0