系統出現重大漏洞,Windows使用者要小心了
近期,幾位 F-Secure 安全研究人員發現了一種冷啟動攻擊的新變種,可以竊取計算機上的密碼、金鑰或是一些加密資訊,即便是在計算機斷電之後同樣可以破解,並且這種攻擊對多數現代計算機都適用。
RAM(隨機存取儲存器)以斷電時能夠短暫的保留資料而為人稱道,在低溫條件下儲存時間甚至可以更長。而冷啟動攻擊也正式依託於此,攻擊者可以通過這短暫的保留時間來竊取記憶體中的資訊。
冷啟動攻擊早期防治
冷啟動攻擊最早發現於2008年,只不過當時的攻擊還需要物理訪問目標計算機,因此攻擊的成本很高,往往用在一些高價值目標而非普通使用者上。
所謂兵來將擋水來土掩,各大計算機廠商也針對這個問題制定了一系列的防範措施。
AMD、惠普、IBM、英特爾和微軟幾大公司組建了 可信計算組織(Trusted Computing Group) 來解決這個問題,組織制定了一項標準,在電源恢復時覆蓋RAM的內容來保護計算機資料免受此類攻擊。
標準名稱為TCG重置攻擊緩解或記憶體覆蓋請求控制(MORLock)。這樣即使攻擊者能夠非常快的創造出儲存資料所需的低溫條件,在系統啟動時記憶體中的所有信息仍然會被清理。
MORLock成為歷史
F-Secure的安全研究人員Olle Segerdahl和Pasi Saarinen發現的新型攻擊方式,可以通過對儲存覆蓋指令重新程式設計來修改儲存晶片的動作,因此可以在禁用該項功能後通過外接裝置繼續啟動並提取RAM中的資料。
只有完全關閉或休眠的計算機能夠免疫這種攻擊(因為切斷了電源)。但是在睡眠模式下,計算機先前的狀態會儲存在RAM中,並以最小功率執行以儲存資料,因此睡眠模式的計算機同樣無法倖免。
一套輸出兩分鐘
兩位研究人員通過視訊演示,完整的復現了新型冷啟動攻擊:
最合適的上手時間是計算機關閉-重新啟動期間,在此時凍結RAM晶片能夠有效的儲存資料,利於攻擊者的一系列操作。
該技術能夠竊取計算機記憶體中的資料,包括加密硬碟的金鑰。
至於BitLocker(驅動器加密),如果使用者將其設定為啟動時使用PIN碼驗證身份,那麼入侵者只有一次攻擊的機會,因為在提取RAM資料時PIN碼也是必需的。也就是說,PIN碼的存在等於是給資料多上了一道鎖。但是在沒有PIN驗證的計算機上,這種攻擊可以做到一打一個準。
在這兩位研究員看來,雖然實現攻擊需要一定的難度,但是他們相信肯定有一部分人也已經掌握了這種攻擊方式,並且伺機而動。當然,對於普通使用者來說,用冷啟動攻擊有點殺雞用牛刀的意思,因此他們認為,大型企業,例如銀行之類的,可能是被重點關注的物件。
如何防範
專家對此建議是,在不用筆記本的時候最好將其完全關閉或休眠(一定要區分休眠和睡眠兩種模式),同時再增加PIN碼驗證,能夠最大程度的抵禦攻擊。
為了證實攻擊真實存在,微軟方面也針對BitLocker釋出了公告,告知使用者現在的BitLocker已無法抵禦冷啟動攻擊。
與之對應的是,掌握另一大作業系統的蘋果沒有做出任何迴應,而是直接釋出新一代的Mac(手動滑稽),因其CPU採用的獨特的加密晶片,這種攻擊基本沒法破防,所以請廣大Mac使用者放心食用。(這條不是廣告)
*參考來源: ofollow,noindex">thehackernews ,Karunesh91編譯,轉載請註明來自FreeBuf.COM