芬兰资安业者F-Secure在9月13日于瑞典举行的SEC-T资安会议上,展示了新型态的「冷启动」(Cold Boot)攻击,研究人员破解了业者在韧体中替传统冷启动攻击所部署的防御机制,可成功骇入绝大多数的现代电脑。
在10年前便已现身的冷启动攻击,是利用随机存取内存(RAM)在电脑断电后的数据残留特性,透过冷启动重启电脑之后存取内存内容。为了防范冷启动攻击,由微软、IBM、英特尔、AMD与HP等业者组成的「信任运算联盟」(Trusted Computing Group,TCG)则发展出TCG Reset Attack Mitigation,以在重启电脑时强迫BIOS覆盖内存内容。
不过,F-Secure的两名研究人员Olle Segerdahl与Pasi Saarinen则发现,只要能实际接触电脑硬件,就能改写含有该设定的内存芯片,并关闭其覆盖功能,破解了TCG Reset Attack Mitigation,再以外接装置重启电脑,执行冷启动攻击,于内存中取得密码或进入企业网络的凭证。
在展示影片中,黑客把目标笔电移到别处,先移除电池,把装置打开,以空气喷雾冷却内存模块,以延长数据残留的时间,继之攻击主板上的UEFI模块,关闭内存覆盖功能,再插入含有Linux操作系统的USB随身碟,执行Linux命令以取得内存中的数据。
F-Secure指出,此一手法将可用来骇进市场上绝大多数的笔电,包括Dell、联想与苹果等品牌,他们已与微软、苹果及英特尔分享此一研究结果,这些业者也正在探索可能的解决方案。其中,微软已经更新了Bitlocker文件,指出若黑客开启运算装置并攻击硬件时,便无法防御冷启动攻击,至于苹果则宣称新一代的T2芯片已有可保护这类攻击的安全机制,只是T2芯片目前只被应用在iMac Pro及2018年之后的MacBook Pro机种。
Segerdahl指出,此一攻击必须实际存取目标电脑,亦要求正确的工具,并不容易执行,但如果目标对象是银行或大型企业,也许就值得黑客一试。
此外,由于内存在断电之后的残留时间很短,因此相关攻击只能在睡眠模式(Sleep Mode,待机)下运作,使得休眠模式(Hibernate Mode)再加上开机前验证(Pre-Boot Authentication)成为防御冷启动攻击的最佳作法。
Segerdahl与Saarinen建议IT管理人员配置企业的电脑时应强制执行关机或休眠,同时要求使用者在重启或恢复电脑时输入Bitlocker PIN码,特别是针对企业高层,可存取机密数据的员工,以及那些到外地出差,可能将笔电遗留在饭店房间、机场或餐厅的员工。
文章出自:豪彩导航家 http://www.taingon.com/map.asp
2862
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
