F-Secure: cold boot-aanval maakt gestolen laptops kwetsbaar

Experts van F-Secure waarschuwen voor een kwetsbaarheid in de firmware van moderne laptops. Dat is vooral een probleem als een laptop wordt gestolen of zoek raakt.

Hackers hebben namelijk fysieke toegang tot een laptop nodig om misbruik van deze kwetsbaarheid te kunnen maken. Volgens Olle Segerdahl, principal security consultant bij F-Secure, kan een hacker de aanval in dat geval in circa vijf minuten tijd uitvoeren. Segerdahl en zijn collega Pasi Saarinen hebben hun bevindingen donderdag 13 september gepresenteerd tijdens het SEC-T congres in Zweden.

Afsluitprocedure

De kwetsbaarheid biedt hackers met fysieke toegang tot een laptop de mogelijkheid om een ‘cold boot-aanval’ uit te voeren. Dit is een techniek waar hackers sinds 2008 gebruik van maken. Hierbij wordt een computer opnieuw opgestart na een reguliere afsluitprocedure, zodat hackers data die kortstondig in het RAM-geheugen aanwezig blijft na het uitschakelen van de stroom kunnen herstellen.

Moderne laptops overschrijven het RAM-geheugen om te voorkomen dat hackers gegevens stelen met cold boot-aanvallen. Segerdahl en zijn team ontdekten echter een manier om dit overschrijfproces te deactiveren, zodat ze in staat waren om de tien jaar oude aanvalstechniek opnieuw te gebruiken.

De aanval maakt misbruik van het feit dat de firmware-instellingen voor het opstartgedrag geen bescherming bieden tegen fysieke aanvallers. Een hacker kan met een simpele hardwaretool de instellingen op de niet-volatiele geheugenchip herschrijven. Dit maakt het mogelijk om de laptop opnieuw te starten met externe apparatuur, zoals met een speciaal programma op een USB-stick.

Tegenmaatregelen

Het is niet de verwachting dat de sector op korte termijn een oplossing heeft voor dit probleem. Daarom zouden bedrijven zichzelf moeten voorbereiden op dit soort aanvallen. Een manier om dit te doen is door laptops te configureren om zichzelf automatisch af te sluiten of de slaapstand te activeren en gebruikers te vragen om de Bitlocker-pincode elke keer in te voeren wanneer Windows wordt opgestart of zichzelf herstelt.

Verder is het volgens F-Secure belangrijk om managers en medewerkers die veel reizen voor te lichten over cold boot-aanvallen en vergelijkbare bedreigingen. IT-afdelingen zouden daarnaast moeten beschikken over een plan voor incidentrespons, zodat ze direct tegenmaatregelen kunnen treffen zodra laptops zoekraken.