BIOS-aanval

Wat is een BIOS-aanval?

Een BIOS-aanval is een exploit die het BIOS infecteert met kwaadaardige code en die hardnekkig is via reboots en pogingen om de firmware te reflashen.

Het BIOS is de firmware die wordt uitgevoerd wanneer een computer wordt opgestart. Oorspronkelijk was het hard-coded en alleen-lezen (daarom werd het firmware genoemd). Fabrikanten gebruiken nu een wisbaar formaat, zoals flash-geheugen, om BIOS-updates eenvoudiger te maken. Onbedoeld betekent deze verandering echter ook dat het BIOS kwetsbaar is voor online aanvallen.

Voor een BIOS-aanval is geen kwetsbaarheid op het doelsysteem nodig. Zodra een aanvaller via een ander mechanisme rechten op administratief niveau krijgt, kan hij het BIOS via internet flashen met firmware met malware. Een BIOS-aanval kan een decompressieroutine infecteren die in de meeste moederborden wordt gebruikt.

Ooit werd gedacht dat BIOS-malware specifiek zou moeten worden geschreven voor elk van de vele verschillende BIOS-implementaties. Tijdens de beveiligingsconferentie CanSecWest 2009 hebben onderzoekers Alfredo Ortega en Anibal Sacco echter een generieke BIOS-aanval gedemonstreerd die volledige controle over de onderliggende firmware mogelijk zou maken, ongeacht het besturingssysteem. Deze mogelijkheid betekent dat een dergelijke aanval wijdverspreid en overdraagbaar zou kunnen zijn tussen platforms.

Er zijn twee methoden om BIOS-infectie te voorkomen. De eerste methode houdt in dat het BIOS zodanig wordt ingesteld dat het niet kan worden beschreven. De tweede methode berust op een hardwarematige cryptografische sleutel die bij de fabricage in de BIOS-chip wordt gebrand en waarmee kan worden gecontroleerd of de code niet is gewijzigd.

Lees meer over IT:
> Sherri Davidoff schrijft over wat er gebeurt 'Wanneer BIOS-updates in aanvallen veranderen.'
> Dennis Fisher doet verslag van 'Onderzoekers onthullen hardnekkige BIOS-aanvalsmethoden.'