F-Secure于9月13日在瑞典斯德哥尔摩举行的举行的SEC-T安全会议上,向众人展示了新型态的"冷启动"(Cold Boot)攻击,研究人员破解了业者在系统中替传统冷启动攻击所部署的防御机制,可成功黑入绝大多数的现代电脑。SEC-T安全/黑客会议期间,F-Secure研究人员Olle Segerdahl和Pasi Saarinen详细介绍了攻击者如何使用固件漏洞来禁用供应商实施的安全措施并提取任何加密数据留在RAM模块中。
在10年前便已现身的冷启动攻击,是利用随机存取內存(RAM)在电脑断电后的资料残留特性,透过冷启动重启电脑之后存取內存属性。为了防范冷启动攻击,由微软、IBM、英特尔、AMD与HP等业者组成的"信任运算联盟"(Trusted Computing Group,TCG)则发展出TCG Reset Attack Mitigation,以在重启电脑时强迫BIOS覆盖內存属性。冷启动攻击是一种新型的旁路攻击( side channel attack) 。 利用冷启动攻击,攻击者可以对其进行物理访问的正在运行的 计算机执行冷启动操作以绕过其软硬件防护机制,获取正在运 行的计算机的内存快照,并进一步从快照中提取出密钥等敏感信息。
通过该安全攻击,具有物理访问权限的恶意方和计算机可以在重置或重新启动计算机后从DRAM和SRAM内存模块中窃取加密密钥。
然后使用被盗的加密密钥从硬盘驱动器安装受保护的卷,并允许提取敏感数据。
在这种特定情况下,冰冷启动攻击向量可以对借助BitLocker或FileVault加密的数据进行解扰,并在攻击者获得对目标设备的物理访问后从RAM恢复加密密钥。
除了加密密钥之外,F-Secure研究团队还表示,使用此固件漏洞利用的攻击甚至可以获取其他敏感资料,如密码或企业帐户,基本上是在计算机关闭后留在RAM中的任何内容或重新启动。
正如研究团队所解释的那样,笔记本电脑是最容易受到攻击的设备,因为它们的电池使RAM模块的供电时间更长,因此比台式电脑更容易窃取数据。
这种冷启动攻击同时影响到微软的BitLocker和苹果的FileVault
此外,笔记本电脑被黑客入侵的风险更高,因为这种攻击要求威胁参与者对计算机进行物理访问并将其移动到安全的地方进行数据提取过程。
F-Secure的研究人员还证实,理论上可以在机器运行时劫持RAM芯片,附加补充说明仍然需要物理访问RAM芯片。
虽然这整个情况看起来很糟糕,但仍然有希望看到,正如会议上所详述的那样,Apple确认了他们的一些电脑,那些装有T2芯片的电脑(即2018年的iMac Pro和MacBook Pro型号)具有额外的硬件级保护,可以成功地缓解此攻击向量。
此外,Apple建议默认启用固件密码,并建议Microsoft设置启动PIN以防止第三方未经授权的访问。
在解决此问题之前,公司和组织应实施要求所有员工关闭计算机或将其设置为直接进入休眠状态的策略,因为“当计算机休眠或关闭时,加密密钥不会存储在RAM中。因此攻击者没有任何有价值的信息可以窃取,“F-Secure的研究团队表示。
冷启动攻击能窃取保存在计算机内存中的数据,因为计算机在强行重启之后部分敏感信息会短暂保存在内存里。今天绝大部分计算机都包含了安全措施移除储存在内存里的数据,防止黑客窃取敏感信息。F-Secure 的研究人员找到了方法关闭安全措施,使用冷启动提取数据。相比经典的冷启动攻击,新的方法需要额外的步骤,但能有效攻击研究人员测试的所有现代计算机。
小结:
目前没有补丁能修复新的漏洞,研究人员建议调整设置让计算机在关闭屏幕后自动关机或休眠,而不是进入睡眠模式,公司及高净值人士尤其注意这方面的保护。