Jeffrey Cross
Jeffrey Cross

Ram Dump über Firewire

Im Gegensatz zu USB2 ermöglicht die Firewire-Spezifikation, dass Geräte vollen DMA-Zugriff haben. Durch die Identität des entsprechenden Geräts kann ein PC im Wesentlichen vollen Lese- / Schreibzugriff auf den Arbeitsspeicher einer anderen Maschine erhalten, indem nur die beiden Maschinen mit einem Firewire-Kabel verbunden werden. Neben der jüngsten Diskussion über die Unsicherheiten des physischen Zugriffs und der Demonstration des Cold-Boot-RAM-Dumps von Princeton veröffentlichte Adam Boileau ein Linux Firewire-Dienstprogramm, mit dem Sie sofort einen Administrator auf einem XP-Computer erhalten können:

Es ist zwei Jahre später, und ich denke, jeder, der die Nachricht über Firewire erhalten wollte, hat es bereits und jeder, der sich darüber aufregen würde, hat es überwunden. Laut Microsofts Definition war es außerdem ohnehin nie eine Sicherheitslücke - Bildschirmschoner und Anmeldeaufforderungen betreffen - wie Bruce sagt - das Gefühl der Sicherheit. Wie auch immer, der heutige Veröffentlichungstag für Winlockpwn, das Tool, das ich bei Ruxcon vorgestellt habe, um Windows auth zu umgehen oder eine Admin-Shell im Anmeldefenster zu öffnen.

  • Ja, unter Windows können Sie den Hauptspeicher über Firewire lesen und schreiben.
  • Ja, das bedeutet, dass Sie jede Box besitzen können, deren Firewire-Port Sie in Sekunden anschließen können.
  • Ja, es erfordert einen physischen Zugriff. Menschen mit physischem Zugang gewinnen auf vielerlei Weise. Sicher, das ist schnell und einfach, aber es ist nur einer von vielen.
  • Ja, es ist eine FEATURE, kein Fehler. Es ist das Feuer in Firewire. Ja, ich weiß das, Microsoft weiß es. Die OHCI-1394-Spezifikation weiß dies. Leute mit Firewire-Ports tun dies normalerweise nicht.

Zu Adams Tools gehören einige Python-Apps, mit denen Firewire-Gerätesignaturen kopiert und imitiert werden können, RAM auf einem Remote-Computer gesichert werden kann, die Windows-Authentifizierung umgangen und BIOS-Kennwörter extrahiert werden können. Es ist nicht gerade beruhigend, aber ich habe jetzt eine neue Wertschätzung für Firewire. Dies ist die Art von Zugriff, die bisher nur durch Erstellen von Hardware möglich war, die physisch mit dem PCI-Bus verbunden ist. Jetzt brauchen Sie nur noch ein Kabel und einen Laptop.

Firewire, DMA & Windows - direkter Speicherzugriff über Firewire - [via] Link

Aktie

Leave A Comment