Kwetsbaarheden in BIOS/UEFI

Transcriptie

1 Kwetsbaarheden in BIOS/UEFI ONDERZOEKSRAPPORT DOOR TERRY VAN DER JAGT, maart 2015

2 Inhoudsopgave Inleiding... 2 Wat is een aanval op een kwetsbaarheid in het BIOS?... 2 Hoe wordt een BIOS geïnfecteerd?... 3 Maakt UEFI het veiliger of minder veilig?... 3 Conclusie... 3 Bronnen

3 Inleiding In dit onderzoeksrapport wordt gekeken naar kwetsbaarheden in het BIOS op een computer. De laatste tijd zijn er verschillende berichten verschenen over deze beveiligingslekken. Volgens deze berichten zou bijvoorbeeld de EFI chip van een Macbook gekraakt kunnen worden door middel van een Thunderboltpoort. Ook zouden 80% van de computers vatbaar zijn voor een proof-of-concept die begin 2015 is vertoond. i ii iii iv In dit rapport wordt zowel naar de traditionele BIOS, als naar de opkomende UEFI gekeken. Omdat er uiteenlopende meningen zijn over of UEFI onder de BIOS mag worden gerekend, of het een losstaande opvolging is van het traditionele BIOS, wordt in dit rapport met het woord BIOS zowel het traditionele BIOS en het opkomende UEFI bedoeld. De hoofdvraag van dit rapport is: Wat is een kwetsbaarheid in het BIOS/UEFI en hoe worden deze gebruikt? De deelvragen die in dit rapport behandeld worden zijn: - Wat is een aanval op een kwetsbaarheid in het BIOS? - Hoe wordt een BIOS geïnfecteerd? - Maakt UEFI de computer veiliger of juist niet? Wat is een aanval op een kwetsbaarheid in het BIOS? Het BIOS (Basic Input/Output System) is de software op de computer die de laag vormt tussen de hardware en het besturingssysteem. Dit systeem kan de hardware direct aansturen, het besturingssysteem laden en standaard services leveren voor het besturingssysteem. Vanwege deze belangrijke taak is het voor kwaadwillende interessant om te kijken of ze hierin in kunnen breken. v In 1998 was voor het eerst sprake van misbruik van het BIOS. Het CIH virus verwijderde en overschreef het BIOS van de getroffen computer. Sinds dien zijn er verschillende virussen geweest die iets soortgelijks deden. Sinds 2006 wordt er gesproken over de mogelijkheid van het implementeren van een rootkit op een getroffen pc door middel van het BIOS. De aanval op het Iraanse kernprogramma door middel van Stuxnet is hier een voorbeeld van. v vi Rootkits geven de aanvaller de mogelijkheid in het systeem te breken. De hacker kan het geheugen uitlezen en zo geheime/gevoelige informatie bemachtigen of code uitvoeren zonder dat de gebruiker het doorheeft. Deze rootkits zijn moeilijk te detecteren en te verwijderen. V 2

4 Hoe wordt een BIOS geïnfecteerd? Een computer kan op verschillende manieren worden geïnfecteerd. Traditionele BIOS-en werken op veel verschillende manieren, waardoor aanvallen specifiek op een bepaalt platform gericht moeten zijn. Het infecteren van zo n systeem kan bijvoorbeeld gedaan worden met behulp van flashtools van de fabrikant van het moederboard. Deze programma s worden gebruikt om nieuwere versies van een bios te schrijven. De beveiliging van dit proces is alleen ontoereikend waardoor het mogelijk is een gemodificeerde bios te schrijven. V Helemaal met de komst van UEFI zijn de mogelijkheden voor hackers toegenomen. De nieuwe software is een stuk uitgebreider en is hierdoor ook meer vatbaar voor kwetsbaarheden. Zoals in de inleiding is besproken, worden er steeds meer exploits gevonden die UEFI kunnen infecteren. Maakt UEFI het veiliger of minder veilig? UEFI (Unified Extensible Firmware Interface) is ontwikkeld om het BIOS te vervangen. Het beschikt over vele voordelen over BIOS, waaronder pre-os environment boot, boot and run-time services en krachtige veiligheidsmechanismes waaronder secure boot. Omdat de implementatie van deze BIOS echter nu niet meer producentspecifiek is, en het vele malen uitgebreider is, is het risico op aanvallen vergroot. vii Conclusie Met de opkomst van UEFI en de groei van rootkits is de aandacht voor boot firmware vergroot. Bedrijven zijn sinds de recente vindingen druk bezig UEFI beter te beveiligen tegen aanvallen. vii Tot die tijd lopen echter veel computers een groot beveiligingsrisico. Dergelijke infecties zijn namelijk moeilijk te voorkomen, detecteren en te verwijderen. 3

5 Bronnen i ii iii iv v Zhenliu Zhou, H. L. (2010). Detection about Vulnerabilities and Malicious codes for Legacy BIOS. Department of Information Engineering, Institute of Engineering, Shenyang Key Lab of Information Security for Power System, Shenyang, China : IEEE. vi Butt, M. I. (2014). BIOS Integrity, An Advanded Persistent Threat. Conference on Information Assurance and Cyber Security (CIACS) (pp ). Department of Information Security, MCS, National University of Sciences and Technology, Islamabad, Pakistan : IEEE. vii Vladimir Bashun, A. S. (2013). Too Young to be Secure: Analysis of UEFI Threats and Vulnerabilities. Open Innovations Association (FRUCT), th Conference of (pp ). St. Petersburg State University of Aerospace Instrumentation, St. Petersburg, Russia : IEEE. Betrouwbaarheidscheck: De IEEE (Institute of Electrical and Electronics Engineers) is wereldwijd de grootse vereniging van professionals zoals wetenschappers, ingenieurs, wiskundigen, ifnformatici, etc. Tweakers.net is een Nederlandse technieuws website met duidelijke bronvermelding die meerdere jaren op rij de prijs website van het jaar heeft gewonnen. 4