大多數現代計算機容易受到跨平臺冷啟動攻擊
在瑞典斯德哥爾摩舉行的SEC-T安全/黑客會議期間,F-Secure研究人員 ofollow,noindex">Olle Segerdahl和Pasi Saarinen詳細介紹 了攻擊者如何使用韌體漏洞來禁用供應商實施的安全措施並提取任何加密資料留在RAM模組中。
冷啟動攻擊是一種安全攻擊,通過該安全攻擊,具有物理訪問許可權的惡意方和計算機可以在重置或重新啟動計算機後從DRAM和SRAM記憶體模組中竊取加密金鑰。
然後使用被盜的加密金鑰從硬碟驅動器安裝受保護的卷,並允許提取敏感資料。
在這種特定情況下,冰冷啟動攻擊向量可以對藉助BitLocker或FileVault加密的資料進行解擾,並在攻擊者獲得對目標裝置的物理訪問後從RAM恢復加密金鑰。
除了加密金鑰之外,F-Secure研究團隊還表示,使用此韌體漏洞利用的攻擊甚至可以獲取其他敏感資料,如密碼或企業帳戶,基本上是在計算機關閉後留在RAM中的任何內容或重新啟動。
正如研究團隊所解釋的那樣,膝上型電腦是最容易受到攻擊的裝置,因為它們的電池使RAM模組的供電時間更長,因此比臺式電腦更容易竊取資料。
這種冷啟動攻擊同時影響到微軟的BitLocker和蘋果的FileVault
此外,膝上型電腦被黑客入侵的風險更高,因為這種攻擊要求威脅參與者對計算機進行物理訪問並將其移動到安全的地方進行資料提取過程。
F-Secure的研究人員還證實,理論上可以在機器執行時劫持RAM晶片,附加補充說明仍然需要物理訪問RAM晶片。
雖然這整個情況看起來很糟糕,但仍然有希望看到,正如會議上所詳述的那樣,Apple確認了他們的一些電腦,那些裝有 T2晶片的電腦 (即2018年的iMac Pro和MacBook Pro型號)具有額外的硬體級保護,可以成功地緩解此攻擊向量。
此外,Apple建議預設啟用韌體密碼,並建議Microsoft設定啟動PIN以防止第三方未經授權的訪問。
在解決此問題之前,公司和組織應實施要求所有員工關閉計算機或將其設定為直接進入休眠狀態的策略,因為“當計算機休眠或關閉時,加密金鑰不會儲存在RAM中。因此攻擊者沒有任何有價值的資訊可以竊取,“F-Secure的研究團隊表示。
Linux公社的RSS地址: https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-09/154086.htm