新式Cold Boot攻擊可黑進絕大多數現代計算機

芬蘭網路安全企業F-Secure在9月13日於瑞典舉行的SEC-T網路安全會議上，展示了新形態的「冷啟動」（Cold Boot）攻擊，研究人員破解了企業在固件中替傳統冷啟動攻擊所部署的防禦機制，可成功黑入絕大多數的現代計算機。

在10年前便已現身的冷啟動攻擊，是利用隨機訪問內存（RAM）在計算機斷電後的數據殘留特性，通過冷啟動重啟計算機之後訪問內存內容。為了防範冷啟動攻擊，由微軟、IBM、英特爾、AMD與HP等企業組成的「信任運算聯盟」（Trusted Computing Group，TCG）則發展出TCG Reset Attack Mitigation，以在重啟計算機時強迫BIOS覆蓋內存內容。

不過，F-Secure的兩名研究人員Olle Segerdahl與Pasi Saarinen則發現，只要能實際接觸計算機硬體，就能改寫含有該設置的內存晶元，並關閉其覆蓋功能，破解了TCG Reset Attack Mitigation，再以外置設備重啟計算機，執行冷啟動攻擊，於內存中取得密碼或進入企業網路的憑證。

在展示視頻中，黑客把目標筆記本計算機移到別處，先移除電池，把設備打開，以空氣噴霧冷卻內存模塊，以延長數據殘留的時間，之後攻擊主板上的UEFI模塊，關閉內存覆蓋功能，再插入含有Linux操作系統的USB隨身碟，執行Linux命令以取得內存中的數據。

F-Secure指出，該手法將可用來黑進市場上絕大多數的筆記本計算機，包括Dell、聯想與蘋果等品牌，他們已與微軟、蘋果及英特爾分享該研究結果，這些企業也正在探索可能的解決方案。其中，微軟已經更新了Bitlocker文件，指出若黑客打開運算設備並攻擊硬體時，便無法防禦冷啟動攻擊，至於蘋果則宣稱新一代的T2晶元已有可保護這類攻擊的安全機制，只是T2晶元目前只被應用在iMac Pro及2018年之後的MacBook Pro機型。

Segerdahl指出，該攻擊必須實際訪問目標計算機，也要求正確的工具，並不容易執行，但如果目標對象是銀行或大型企業，也許就值得黑客一試。

此外，由於內存在斷電之後的殘留時間很短，因此相關攻擊只能在睡眠模式（Sleep Mode，待機）下運行，使得休眠模式（Hibernate Mode）再加上開機前驗證（Pre-Boot Authentication）成為防禦冷啟動攻擊的最佳作法。

Segerdahl與Saarinen建議IT管理人員配置企業的計算機時應強制執行關機或休眠，同時要求用戶在重啟或恢復計算機時輸入Bitlocker PIN碼，特別是針對企業高層，可訪問機密數據的員工，以及那些到外地出差，可能將筆記本計算機遺留在飯店房間、機場或餐廳的員工。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！