image

Google onthult details van kritiek TrueCrypt-lek

vrijdag 16 oktober 2015, 11:04 door Redactie, 9 reacties

Google heeft de details gepubliceerd van een kritiek beveiligingslek in TrueCrypt waardoor een lokale aanvaller die toegang tot het systeem heeft zijn rechten kan verhogen. Hoewel de kwetsbaarheid geen impact heeft op de encryptie die TrueCrypt biedt kwam het lek uitgebreid in het nieuws.

Vorig jaar besloten de ontwikkelaars van TrueCrypt namelijk de ondersteuning van de encryptiesoftware te stoppen. Desondanks blijft het voor veel gebruikers de geprefereerde optie voor het versleutelen van zowel bestanden als complete systemen. Doordat de ondersteuning is gestopt worden gevonden kwetsbaarheden niet meer verholpen. Google-onderzoeker James Forshaw meldde onlangs twee kwetsbaarheden in TrueCrypt en het afgeleide VeraCrypt, dat nog wel wordt ondersteund.

De eerste kwetsbaarheid is gevaarlijker, omdat iemand met een beperkt gebruikersaccount systeem- of zelfs kernelrechten kan krijgen. De tweede kwetsbaarheid laat een ongeautoriseerde gebruiker een actief gebruikt TrueCrypt-volume loskoppelen. Om beide lekken te kunnen gebruiken moet een aanvaller op de computer in kunnen loggen. Daarnaast is het niet mogelijk om via de kwetsbaarheden informatie te ontsleutelen.

Audit

Het beveiligingslek was ook opvallend omdat TrueCrypt vorig jaar nog was geaudit, maar dit probleem niet was gevonden. Volgens Forshaw kan dit worden verklaard omdat de aanvalsvector die hij gebruikte niet bij de onderzoekers bekend was. Daarnaast is de code van Windowsdrivers meestal niet door een aanvaller uit te buiten, wat bij deze kwetsbaarheid wel het geval is. De manier waarop Windows door de jaren heen met drivers en symbolische links omgaat is door Microsoft veranderd. Dit heeft Microsoft echter niet goed gedocumenteerd, aldus Forshaw. Volgens de onderzoeker is het dan ook lastig om de schuld bij zowel de TrueCrypt-ontwikkelaars als auditors te leggen dat dit soort kwetsbaarheden er doorheen glippen.

Reacties (9)
16-10-2015, 11:06 door Anoniem
[Verwijderd door moderator]
16-10-2015, 11:15 door Anoniem
Het is uiteindelijk ook geen directe aanval op de encryptie laag van Truecrypt, maar opent de mogelijkheid om backdoors te installeren die bijvoorbeeld keyloggers bevatten zodat de wachtwoorden voor Truecrypt afgeluisterd kunnen worden.

In mijn optiek is dit een combinatie van zwakheden van Windows en Truecrypt. Niet van Truecrypt. Beetje gehypt IMHO.
16-10-2015, 11:38 door Erik van Straten - Bijgewerkt: 16-10-2015, 11:50
Uit https://technet.microsoft.com/library/security/MS15-111 (onderstrepen aangebracht door mij):
Door Microsoft Security TechCenter, V1.0 (October 13, 2015): Bulletin published, Page generated 2015-10-12 13:53-07:00: [...]
Microsoft Security Bulletin MS15-111 - Important
[...]
Windows Mount Point Elevation of Privilege Vulnerability - CVE-2015-2553

An elevation of privilege vulnerability exists when Windows improperly validates junctions in certain scenarios in which mount points are being created. An attacker who successfully exploited this vulnerability could potentially run arbitrary code in the security context of the user running a compromised application.

To exploit this vulnerability, an attacker would most likely have to leverage another vulnerability that allows them to run arbitrary code in a sandboxed application. The update addresses the vulnerability by correcting how Windows handles certain scenarios involving junction and mount-point creation.

This vulnerability has been publicly disclosed. It has been assigned Common Vulnerability and Exposure number CVE-2015-2553. At the time this security bulletin was originally issued, Microsoft was unaware of any attack attempting to exploit this vulnerability.
[...]
Weet iemand of het hier om dezelfde issue gaat als de eerste kwetsbaarheid in TrueCrypt? Zo ja, is een TrueCrypt installatie minder kwetsbaar voor privilege escalation aanvallen als MS15-111 is geïnstalleerd? Zo nee, weet iemand waar deze kwetsbaarheid "publicly disclosed" is?

Overigens werkt TrueCrypt nog probleemloos op mijn W7 x64 systeem met MS15-111 geïnstalleerd.

Aanvulling 11:50: als TrueCrypt hier kwetsbaar voor is (en Veracrypt er kwetsbaar voor was), zou ook andere disk encryption software hier wel eens kwetsbaar voor kunnen zijn. Weet iemand meer?
16-10-2015, 12:02 door [Account Verwijderd]
[Verwijderd]
16-10-2015, 12:12 door [Account Verwijderd]
Door MAC-user: @ErikvStraten
Waar ik wel voor wil waarschuwen is voor VeraCrypt, want bij het testen (op andere systemen dan Windows) ben ik geen goede gebruikservaringen tegen gekomen bij VeraCrypt, terwijl TrueCrypt echt probleemloos functioneert. Ik vraag mij daarom af of niet een Audit voor deze Fork moet worden opgezet.

Dat is zwz het geval en ook de reden dat ik nog eventjes van Veracrypt afblijft. Veracrypt heeft natuurlijk z'n eigen code die niet onder de audit valt, waardoor deze dus z'n eigen bugs kan hebben.

En alhoewel deze bugs uitgebreid in het nieuws is gekomen, moet de aanvaller eerst toegang hebben voordat deze exploits gebruikt kunnen worden.
16-10-2015, 13:22 door golem - Bijgewerkt: 16-10-2015, 13:22

Waar ik wel voor wil waarschuwen is voor VeraCrypt, want bij het testen (op andere systemen dan Windows) ben ik geen goede gebruikservaringen tegen gekomen bij VeraCrypt, terwijl TrueCrypt echt probleemloos functioneert.

Draai al een paar maanden als test met Veracrypt op Linux Mint, het openen van een Veracrypt container gaat iets langzamer dan met Truecrypt. Maar voor de rest geen enkel probleem tot nu toe.
16-10-2015, 14:30 door Rolfieo
Door Anoniem: Daarom gebruik ik een MacBook, die heeft FireFault, dit is veel veiliger dan TrueCrypt.
En Microsoft heeft Bitlocker.... En zo kunnen we nog wel even door gaan.....
De IT wereld moet eens in gaan zien dat ze het Apple model moeten gaan volgen.

TheYOSH
Ik hoop van niet. Apple staat in een Enterprise nu niet erg hoog aangeschreven om beheersbaarheid.
Security is ook niet altijd apple zijn sterkste punt.
En communicatie helemaal niet.

Misschien moet Apple eens aan de IT wereld luisteren?
16-10-2015, 14:43 door Anoniem
Loop je ook gevaar als je de portable versie gebruikt?
16-10-2015, 18:08 door Anoniem
En hoe zit dit met TrueCrypt onder Windows? Want dit gaat volgens mij alleen over de rechten onder Windows...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.