芬蘭資安業者F-Secure在9月13日於瑞典舉行的SEC-T資安會議上,展示了新型態的「冷啟動」(Cold Boot)攻擊,研究人員破解了業者在韌體中替傳統冷啟動攻擊所部署的防禦機制,可成功駭入絕大多數的現代電腦。

在10年前便已現身的冷啟動攻擊,是利用隨機存取記憶體(RAM)在電腦斷電後的資料殘留特性,透過冷啟動重啟電腦之後存取記憶體內容。為了防範冷啟動攻擊,由微軟、IBM、英特爾、AMD與HP等業者組成的「信任運算聯盟」(Trusted Computing Group,TCG)則發展出TCG Reset Attack Mitigation,以在重啟電腦時強迫BIOS覆蓋記憶體內容。

不過,F-Secure的兩名研究人員Olle Segerdahl與Pasi Saarinen則發現,只要能實際接觸電腦硬體,就能改寫含有該設定的記憶體晶片,並關閉其覆蓋功能,破解了TCG Reset Attack Mitigation,再以外接裝置重啟電腦,執行冷啟動攻擊,於記憶體中取得密碼或進入企業網路的憑證。

在展示影片中,駭客把目標筆電移到別處,先移除電池,把裝置打開,以空氣噴霧冷卻記憶體模組,以延長資料殘留的時間,繼之攻擊主機板上的UEFI模組,關閉記憶體覆蓋功能,再插入含有Linux作業系統的USB隨身碟,執行Linux命令以取得記憶體中的資料。

 

 

F-Secure指出,此一手法將可用來駭進市場上絕大多數的筆電,包括Dell、聯想與蘋果等品牌,他們已與微軟、蘋果及英特爾分享此一研究結果,這些業者也正在探索可能的解決方案。其中,微軟已經更新了Bitlocker文件,指出若駭客開啟運算裝置並攻擊硬體時,便無法防禦冷啟動攻擊,至於蘋果則宣稱新一代的T2晶片已有可保護這類攻擊的安全機制,只是T2晶片目前只被應用在iMac Pro及2018年之後的MacBook Pro機種。

Segerdahl指出,此一攻擊必須實際存取目標電腦,亦要求正確的工具,並不容易執行,但如果目標對象是銀行或大型企業,也許就值得駭客一試。

此外,由於記憶體在斷電之後的殘留時間很短,因此相關攻擊只能在睡眠模式(Sleep Mode,待機)下運作,使得休眠模式(Hibernate Mode)再加上開機前驗證(Pre-Boot Authentication)成為防禦冷啟動攻擊的最佳作法。

Segerdahl與Saarinen建議IT管理人員配置企業的電腦時應強制執行關機或休眠,同時要求使用者在重啟或恢復電腦時輸入Bitlocker PIN碼,特別是針對企業高層,可存取機密資料的員工,以及那些到外地出差,可能將筆電遺留在飯店房間、機場或餐廳的員工。


Advertisement

更多 iThome相關內容