Pressrelease
Av: F-secure

Sårbarhet i fast programvara hos moderna datorer avslöjar krypteringsnycklar

Publicerad: 13 sep 2018 11:21
Uppdaterad: 13 sep 2018 11:21

Experter anser att dagens säkerhetsåtgärder inte räcker för att skydda data i förlorade eller stulna bärbara datorer

 

Publicerad:
13 sep 2018 11:21
Uppdaterad:
13 sep 2018 11:21

Helsingfors, Finland – 13 september 2018: Konsulter från cybersäkerhetsleverantören F-Secure har upptäckt en sårbarhet i moderna datorer som angripare kan använda till att stjäla krypteringsnycklar och annan känslig information. Upptäckten har fått experterna att varna datorleverantörer och användare om att de nuvarande säkerhetsåtgärderna inte räcker för att skydda data i borttappade eller stulna bärbara datorer.

Angripare behöver fysisk tillgång till datorn innan de kan utnyttja sårbarheten. Men F-Secures Principal Security Consultant Olle Segerdahl säger att när detta lyckats kan en angripare genomföra en framgångsrik attack på cirka fem minuter.

”Ofta är företag inte förberedda på att skydda sig mot en angripare med fysisk tillgång till en företagsdator. Och för säkerhetsproblem som förekommer på enheter från stora datortillverkare, exempelvis de sårbarheter som mitt team har lärt sig att utnyttja, måste man anta att många företag har en svag länk i sitt säkerhetsarbete som de inte är helt medvetna om eller förberedda på att hantera”, sade Segerdahl.

Svagheten gör det möjligt för angripare med fysisk tillgång till en dator att utföra en kallstartsattack, en metod som varit känd av hackare sedan 2008. Kallstartsattacker innebär att starta om en dator utan att följa den rätta avstängningsprocessen och sedan återställa data som blir tillfälligt åtkomliga i RAM-minnet efter att strömmen kopplats från.

Moderna datorer skriver numera över RAM-minnet specifikt för att förhindra angripare från att använda kallstartsattacker för att stjäla data. Segerdahl och hans team har dock upptäckt att det finns en metod för att inaktivera överskrivningsprocessen och utföra den gamla kallstartsattacken.

”Det kräver några extra steg jämfört med den klassiska kallstartsattacken men det fungerar på alla moderna bärbara datorer som vi har testat. Och eftersom denna typ av hot främst är relevant i scenarier där enheter stjäls eller angriparen kommit över dem på olaglig väg finns det gott om tid att utföra attacken”, förklarade Segerdahl.

Attacken utnyttjar det faktum att inställningarna i den fasta programvaran som styr beteendet för startprocessen inte är skyddade mot manipulering av en fysisk angripare. Med ett enkelt maskinvaruverktyg kan en angripare programmera om det icke-flyktiga minneschippet som innehåller dessa inställningar, inaktivera överskrivningen av minnet och aktivera en systemstart från externa enheter. Kallstartsattacken kan sedan utföras genom att starta ett specialprogram från ett USB-minne.

”Eftersom den här attacken fungerar på den typ av bärbara datorer som många företag använder kan de inte känna sig säkra på att deras data är skyddade om en dator förloras. Och eftersom 99 procent av alla bärbara företagsdatorer innehåller sådant som inloggningsuppgifter till företagsnätverk får angripare en pålitlig metod för att utsätta företagsdatorer för risk”, sade Segerdahl. ”Det finns inte heller någon enkel lösning på problemet så det är en risk som företag får hantera på egen hand.”

Segerdahl har delat med sig av teamets resultat med Intel, Microsoft och Apple för att hjälpa datorbranschen att förbättra säkerheten i nuvarande och framtida produkter.

Eftersom Segerdahl inte förväntar sig några omedelbara åtgärder från branschen rekommenderar han att företag förbereder sig på dessa attacker. En metod är att konfigurera bärbara datorer för att automatiskt stängas av/gå i djup vila istället för att vänteläget aktiveras, och att kräva att användare anger Bitlocker PIN varje gång Windows startas eller återställs. Det är även viktigt att göra medarbetare, i synnerhet chefer och medarbetare som reser mycket, medvetna om kallstartsattacker. Och IT-avdelningar behöver ha en incidentplan för att hantera bärbara datorer som stjäls. 

”En snabb åtgärd som gör inloggningsuppgifterna ogiltiga gör stulna bärbara datorer mindre värdefulla för angripare. IT-säkerhetsansvariga och team som hanterar incidenter behöver öva på detta scenario och se till att företagets personal vet att de ska meddela IT-avdelningen omedelbart om en enhet stjäls eller förloras”, rekommenderar Segerdahl. ”Att planera för dessa händelser är bättre än att tro att enheter inte kan angripas fysiskt av hackare eftersom detta uppenbart inte stämmer.”

Segerdahl och hans kollega, Pasi Saarinen, säkerhetskonsult på F-Secure, presenterar sina resultat vid SEC-T-konferensen i Sverige 13 september och vid Microsofts BlueHat v18-konferens i USA 27 september.


Om F-Secure
Ingen kan cybersäkerhet som F-Secure. I tre årtionden har F-Secure varit drivande i innovation inom cybersäkerhet och hjälpt tiotusentals företag och miljontals människor att försvara sig mot angripare. F-Secure har en oöverträffad erfarenhet av slutpunktsskydd samt detektering och svar, och skyddar företag och konsumenter mot allt från avancerade cyberattacker och dataintrång till omfattande angrepp från utpressningstrojaner. F-Secures avancerade teknik kombinerar kraftfull maskininlärning med kunnandet hos våra världskända säkerhetslabb i en gemensam metod kallad Live Security. F-Secures säkerhetsexperter har deltagit i fler europeiska utredningar av cyberbrottslighet än något annat företag på marknaden och våra produkter säljs över hela världen av mer än 200 bredbands- och mobiloperatörer och tusentals återförsäljare.

F-Secure grundades 1988 och är noterat på NASDAQ OMX Helsinki Ltd.

f-secure.com twitter.com/fsecure | facebook.com/f-secure

Läs fler artiklar