CERT/CC waarschuwt voor BIOS-lek in Intel chipsets

[Captain Kirk]

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft gewaarschuwd voor een lek in de chipsets van Intel waardoor het mogelijk is om het BIOS aan te passen, Secure Boot te omzeilen en de firmware van het moederbord zo te beschadigen dat het systeem niet meer zal werken. Daarnaast wordt er ook gewaarschuwd voor een kwetsbaarheid in verschillende UEFI-systemen. Beide lekken werden tijdens de recente CCC-conferentie in Hamburg gedemonstreerd.

Het eerste probleem (pdf) bevindt zich in de Intel chipsets die een bepaalde manier gebruiken om het BIOS (Basic Input/output System en de eerste belangrijke software die draait bij het opstarten van de computer) tegen schrijven te beschermen. Door de kwetsbaarheid is het mogelijk om deze beveiliging te omzeilen en toch aanpassingen door te voeren. Een lokale aanvaller met toegang tot het systeem kan vervolgens kwaadaardige code naar de firmware van de computer schrijven.

Daarnaast is het mogelijk als een bepaalde variabele is ingesteld, wat bij veel implementaties het geval is, om de Secure Boot beveiligingsmaatregel te omzeilen. Secure Boot is een feature die alleen software met een geldige digitale handtekening tijdens het opstarten laadt. Als laatste kan een aanvaller ook nog de firmware van de computer beschadigen, zodat die niet meer zal opstarten.

Het probleem speelt in ieder geval bij American Megatrends Incorporated (AMI) en Phoenix Technologies. Dit zijn fabrikanten van wie de BIOS/UEFI-software door een groot aantal computers wordt gebruikt. Of fabrikanten zoals Asus, Dell, HP, Intel, Sony en Toshiba kwetsbaar zijn is onbekend. Het CERT/CC heeft op dit moment nog geen concrete oplossing voor eigenaren van een kwetsbaar systeem.

UEFI

Naast het bovengenoemde probleem ontdekten onderzoekers Corey Kallenberg en Rafal Wojtczuk ook een kwetsbaarheid (pdf) in de UEFI-firmware van veel computers. UEFI is een nieuw model voor de interface tussen het besturingssysteem van de computer en de firmware van het platform. Het wordt op bijna alle moderne computers gebruikt. Een kwetsbaarheid in de UEFI-firmware zorgt ervoor dat een lokale aanvaller toegang tot het "boot script" kan krijgen om vervolgens de schrijfbeveiliging te omzeilen.

Hierna is het mogelijk om Secure Boot te omzeilen of de firmware van de computer aan te passen, ook al zou die alleen maar gesigneerde firmware moeten accepteren. Net als bij het probleem met de Intel chipsets kan ook nu de firmware worden beschadigd zodat de computer niet meer start. Dit probleem speelt in ieder geval bij AMI, Intel en Phoenix Technologies. Wederom wordt er geen concreet handelingsperspectief gegeven en wijst het CERT/CC naar informatie van de betreffende leveranciers.

 

 

bron: security.nl