Onderzoekers infecteren bios/uefi met ransomware

[Captain Kirk]

Onderzoekers hebben tijdens de recente RSA Conferentie in San Francisco aangetoond hoe de bios/uefi van een Windows 10-computer met ransomware geïnfecteerd kan worden, ondanks allerlei beveiligingsmaatregelen van het besturingssysteem.

De infectie begon met een Word-document dat van een kwaadaardige macro was voorzien. De macro downloadde een bios-updater van de moederfabrikant. Volgens het Duitse Heise moet de installatie van deze tool wel door de gebruiker worden bevestigd, wat enige social engineering zou vereisen. Vervolgens konden de onderzoekers aangepaste firmware uploaden die het systeem, zodra ingeschakeld, meteen voor losgeld vergrendelt of het systeem kan wissen en permanent beschadigen. De moederbordfabrikant, in dit geval Gigabyte, zou het de aanvallers daarbij makkelijk maken door de integriteit van de firmware-update niet te controleren.

De machine in kwestie draaide Windows 10 met de allerlaatste patches en had beveiligingsopties zoals Device Guard, Secure Boot en Virtual Secure Mode ingeschakeld. Volgens de onderzoekers kan de aanval worden voorkomen als moederbordfabrikanten de digitale handtekening van firmware-updates controleren of de bios tijdens het opstarten door een tweede bios laten controleren. In het geval er inconsistenties worden aangetroffen zal de eerste bios met de inhoud van de tweede bios worden overschreven.

Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Moderne computers beschikken over een unified extensible firmware interface (uefi) dat de opvolger van het bios is.

 

 

bron: security.nl