Hva du trenger å vite om den nyeste Cold Boot-utnyttelsen

Lesetid: 3 minutter

Kim Crawley

Cybersikkerhetsindustrien er i ferd med å mislykkes over en nylig oppdaget og veldig skummel utnyttelse, en ny ødeleggende sårbarhet i Cold Boot. Cold Boot-angrep oppstår når sensitive data er tilgjengelige for cyberangripere å kopiere fra datamaskinens RAM fordi maskinen ikke ble slått av ordentlig, for eksempel gjennom en ACPI-oppstart eller hardt ned etter at systemet ble slått av. Nå er det funnet en ny kaldstartutnyttelse, og folk er forståelig nok bekymret. Det er gode nyheter og dårlige nyheter om det.

Vil du ikke lese de gode nyhetene først? Her er det. Cold Boot-angrep har i stor grad blitt forhindret gjennom sikkerhetsherding siden deres første funn i 2008. De fleste PC-er som produsenter har produsert siden da er forsiktige med å fjerne data fra RAM under avslutningsprosessen. Og for at en cyberangriper kan utnytte dette nylig oppdagede Cold Boot-sårbarheten, trenger de fysisk tilgang til målmaskinen og omtrent fem minutter for å utføre angrepet. Så dette angrepet kan ikke gjennomføres over internett, og nettangriperen kan ikke gjøre det øyeblikkelig. Det er litt tidsvindu for å fange dem i prosessen.

Nå er det på tide at jeg blir Debbie Downer. Her er de dårlige nyhetene. Denne nylig oppdagede sårbarheten påvirker de fleste PC-er, inkludert de som er produsert etter 2008. Det påvirker til og med PC-er som er produsert i år. De fleste moderne bærbare datamaskiner er sårbare, inkludert modeller fra Lenovo, Dell og til og med Apple. Bærbare datamaskiner fra HP, Toshiba, Sony og mange andre populære OEM-er er sannsynligvis også berørt. De eneste nylige MacBooks og iMac-ene som er trygge fra den nylig oppdagede utnyttelsen, er de med en T2-brikke. I følge Apple, iMac Pros og MacBook Pros fra 2018 har T2-brikken. Hvis Apple Mac-modellen din ikke har "Pro" i navnet sitt, eller hvis den har "Pro" i navnet, men den er forut for 2018, er den sannsynligvis fortsatt Cold Boot sårbar. Dataene som en nettangriper kan skaffe seg fra en berørt Windows OEM eller Macs RAM, kan inneholde veldig, veldig sensitiv informasjon, for eksempel autentiseringsdata og kryptografiske nøkler - selv om du krypterer harddisken din gjennom operativsystemet. Den slags data kan brukes av en cyberangriper for å etablere administrativ tilgang til datamaskinen din og muligens også til ditt lokale nettverk. Det er mange muligheter for ødeleggelse hvis den slags data faller i feil hender. En cyberangriper kan skaffe seg data med fysisk tilgang til maskinen din hvis du setter dem i hvilemodus. Bare en total avstengning eller dvalemodus kan være trygg. Sikkerhetsherdingen som er utført siden 2008 fungerer egentlig bare pålitelig hvis en total avstengning eller dvalemodus utføres. Det er de store, skumle nyhetene i et nøtteskall.

Sikkerhetskonsulent Olle Segerdahl sa:

“Det er ikke akkurat lett å gjøre, men det er ikke vanskelig nok å finne og utnytte for at vi skal ignorere sannsynligheten for at noen angripere allerede har funnet ut av dette. Det er ikke akkurat den typen ting som angripere som leter etter enkle mål, vil bruke. Men det er den typen ting som angripere som leter etter større phish, som en bank eller et stort foretak, vil vite hvordan de skal bruke. ”

Sikkerhetsherding mot denne utnyttelsen kommer til å bli veldig vanskelig, en stor oppoverbakke. Det er ingen lapp så langt. Segerdahl la til:

“Når du tenker på alle de forskjellige datamaskinene fra alle de forskjellige selskapene og kombinerer det med utfordringene med å overbevise folk om å oppdatere, er det et veldig vanskelig problem å løse enkelt. Det vil ta den typen koordinert bransjesvar som ikke skjer over natten. I mellomtiden må bedriftene klare seg alene. ”

Inntil en lapp kan distribueres, sikkerhetsforskere anbefaler at alle berørte PC-er settes i dvale eller stenges når brukeren ikke overvåker dem. Windows-brukere bør bli bedt om å oppgi BitLocker-PIN-koden når de starter eller starter PCene på nytt. Microsoft har en side med en liste over BitLocker-mottiltak som kan distribueres for å gjøre Windows-PC-er litt sikrere.

Olle Segerdahl presenterte disse bekymringsfulle funnene under en svensk konferanse 13. september. Mer informasjon kan bli presentert på Microsofts sikkerhetskonferanse 27. september.

START GRATIS PRØVEPERIODE FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://blog.comodo.com/comodo-news/what-you-need-to-know-about-the-newest-cold-boot-exploit/