Mitä sinun on tiedettävä uusimmasta Cold Boot -hyödykkeestä

Mitä sinun on tiedettävä uusimmasta Cold Boot -hyödykkeestä

Aikaleima: 18. syyskuuta 2018 2

Verkkohyökkäykset Lukuaika: 3 pöytäkirja

Kylmäkäynnistyshyökkäykset

Kim Crawley

Kyberturvallisuusala on hämmentynyt äskettäin löydetystä ja hyvin pelottavasta hyödyntämisestä, uudesta tuhoisasta kylmäkäynnistyshaavoittuvuudesta. Kylmäkäynnistyshyökkäykset tapahtuvat, kun kyberhyökkääjillä on arkaluonteisia tietoja, jotka voivat kopioida tietokoneen RAM-muistista, koska konetta ei sammutettu kunnolla, esimerkiksi ACPI-kylmäkäynnistyksen tai kovan sammutuksen jälkeen, kun järjestelmä sammutettiin. Nyt on löydetty uusi kylmäkenkien hyväksikäyttö ja ihmiset ovat ymmärrettävästi huolissaan. Siellä on hyviä ja huonoja uutisia.

Etkö halua lukea hyviä uutisia ensin? Tässä se on. Kylmäkäynnistyshyökkäykset on suurelta osin estetty turvallisuuden kovettumisella siitä lähtien heidän ensimmäinen löytö vuonna 2008. Suurin osa alkuperäisten laitevalmistajien sittemmin tuottamista tietokoneista poistaa tietoja RAM-muistista sammutusprosessin aikana. Ja jotta kyberhyökkääjä voi hyödyntää tätä äskettäin löydettyä kylmäkäynnistyshaavoittuvuutta, he tarvitsevat fyysisen pääsyn kohdekoneeseen ja noin viisi minuuttia hyökkäyksen suorittamiseen. Joten tätä hyökkäystä ei voida suorittaa Internetin kautta, eikä verkkohyökkääjä voi tehdä sitä välittömästi. Siellä on vähän aikaikkunaa, jotta heidät saadaan kiinni prosessissa.

Minulla on nyt aika olla Debbie Downer. Tässä on huonoja uutisia. Tämä äskettäin löydetty haavoittuvuus koskee suurinta osaa tietokoneista, mukaan lukien ne, jotka on valmistettu vuoden 2008 jälkeen. Useimmat modernit kannettavat tietokoneet ovat haavoittuvia, mukaan lukien Lenovon, Dellin ja jopa Applen mallit. Tämä vaikuttaa todennäköisesti myös HP: n, Toshiban, Sonyn ja monien muiden suosittujen OEM-valmistajien kannettaviin tietokoneisiin. Ainoat viimeisimmät MacBookit ja iMacit, jotka ovat turvassa äskettäin löydetyltä hyödyntämiseltä, ovat ne, joilla on T2-siru. Mukaan Apple, iMac Pro: lla ja MacBook Pro: lla vuodesta 2018 on T2-siru. Jos Apple Mac -mallisi nimessä ei ole ”Pro” tai jos sen nimessä on ”Pro”, mutta se edeltää vuotta 2018, se on todennäköisesti edelleen kylmäkäynnistys haavoittuva. Tiedot, jotka verkkohyökkääjä voi hankkia Windows OEM: n tai Macin RAM-muistista, johon ongelma vaikuttaa, voivat sisältää hyvin, erittäin arkaluontoisia tietoja, kuten todennustietoja ja salausavaimia, vaikka salaisitkin kiintolevyn käyttöjärjestelmän kautta. Verkkohyökkääjä voi käyttää tällaisia ​​tietoja auttaakseen luomaan järjestelmänvalvojan pääsyn tietokoneellesi ja mahdollisesti myös lähiverkkoon. On monia tuhoutumismahdollisuuksia, jos tällainen data joutuu vääriin käsiin. Verkkohyökkääjä voi hankkia tietoja fyysisellä pääsyllä koneellesi, jos laitat sen lepotilaan. Vain täydellinen sammutus tai lepotila voi olla turvallista. Vuodesta 2008 lähtien suoritettu turvakovetus toimii todella vain luotettavasti, jos täydellinen sammutus tai lepotila suoritetaan. Se on iso, pelottava uutinen pähkinänkuoressa.

Turvakonsultti Olle Segerdahl sanoi:

"Se ei ole aivan helppo tehdä, mutta se ei ole tarpeeksi vaikea asia löytää ja hyödyntää, jotta voimme jättää huomiotta todennäköisyyden, että jotkut hyökkääjät ovat jo tajunnut tämän. Se ei ole aivan sellainen asia, jota hyökkääjät, jotka etsivät helposti tavoitteita, käyttävät. Mutta se on sellainen asia, jota isommat tietokalat, kuten pankki tai suuri yritys, etsivät hyökkääjät tietävät kuinka käyttää. "

Turvallisuuden koventuminen tätä hyväksikäyttöä vastaan ​​tulee olemaan todella hankalaa, suuri ylämäkeen taistelu. Tähän mennessä ei ole laastaria. Segerdahl lisäsi:

"Kun ajattelet kaikkien eri yritysten kaikkia tietokoneita ja yhdistät sen haasteisiin saada ihmiset vakuuttamaan päivityksestä, se on todella vaikea ongelma ratkaista helposti. Se vie sellaista koordinoitua teollisuuden vastausta, joka ei tapahdu yhdessä yössä. Sillä välin yritysten on hoidettava itse. ”

Kunnes laastari voidaan ottaa käyttöön, turvallisuustutkijat suosittelevat että kaikki tietokoneet, joihin ongelma vaikuttaa, asetetaan lepotilaan tai sammutetaan käyttäjän valvomatta. Windowsin käyttäjiä olisi vaadittava antamaan BitLocker-PIN-tunnuksensa, kun he käynnistävät tai käynnistävät tietokoneen uudelleen. Microsoftilla on sivu, jossa on luettelo BitLocker-vastatoimenpiteistä joita voidaan käyttää tekemään Windows-tietokoneista hieman turvallisempia.

Olle Segerdahl esitti nämä huolestuttavat havainnot Ruotsin konferenssissa 13. syyskuuta. Lisätietoja voidaan esittää Microsoftin tietoturvakokouksessa 27. syyskuuta.

ALOITA ILMAINEN KOKEILU SAA VAKAA TURVALLISUUSKORTTI ILMAISEKSI

Aikaleima:

Lisää aiheesta CyberSecurity Comodo