Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

01.08.2017
von: Marius Hamborgstrøm - goSecurity GmbH

BIOS Sicherheit - PXE als Angriffswerkzeug

Marius Hamborgstrøm - goSecurity GmbH

Bei unseren Security Audits untersuchen wir auch regelmässig Clients. Dort finden wir mal besser und mal schlechter eingeschränkte Clients. Ein gut eingeschränkter Client ist so konfiguriert, dass der Mitarbeitende alles machen kann, was er für die tägliche Arbeit benötigt und gleichzeitig so eingeschränkt ist, dass dieser nichts am System selber verändern kann. Dabei werden bei Windows Clients beispielsweise die Befehlszeilen und PowerShell deaktiviert, aber auch der Zugriff auf USB-Geräte (z.B. USB-Stick, CD/DVD) eingeschränkt. Bei einigen Clients werden auch Systempartitionen versteckt, um den Zugriff auf die Konfigurationsdateien von Windows zu verhindern.

Um dennoch auf das Dateisystem zugreifen zu können, ist es eine verbreitete Methode von einem Wechseldatenträger, mit einem Mini-Linux Betriebssystem, zu booten. Da das installierte Windows Betriebssystem nicht bootet, gelten die Einschränkungen von Windows nicht mehr. Und so ist es möglich auf den gesamten lokalen Datenträger zuzugreifen. Als kleiner Nebeneffekt sind die von Windows gesperrten Dateien ebenfalls offen und auslesbar.

Manchmal sind die Clients noch ein bisschen besser eingeschränkt, indem USB-Geräte für den Bootvorgang deaktiviert sind, der Zugriff auf das BIOS mit einem Kennwort geschützt ist und Änderungen der BIOS-Einstellungen (z.B. Bootreihenfolge) nicht ohne weiteres möglich sind. Funktionsbedingt ist das Booten über PXE (Preboot Execution Envicronment) aber meist erlaubt.
Lesen Sie hier den gesamten Artikel: www.gosecurity.ch


Security-Finder Schweiz: Newsletter