Meerdere kwetsbaarheden ontdekt in implementaties Self-Encrypting Drives

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden ontdekt in implementaties
                  Self-Encrypting Drives
Advisory ID     : NCSC-2018-0984
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2018-12037, CVE-2018-12038
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20181105
Toepassing      : BitLocker
Versie(s)       : 
Platform(s)     : Apple Mac OS X
                  Linux
                  Microsoft Windows

Beschrijving
   De TCG Opal is een standaard voor "Self-Encrypting Drives" (SEDs)
   waar verschillende implementaties van bestaan. Onderzoekers hebben
   meerdere kwetsbaarheden ontdekt in implementaties van de TCG Opal
   standaard bij SEDs. Deze kwetsbaarheden maken bij fysieke toegang
   volledig inzicht in de data mogelijk, zonder kennis van
   sleutel-materiaal. Deze kwetsbaarheden zijn bekend onder
   CVE-2018-12037 en CVE-2018-12038.
   
   - CVE-2018-12037
   Er is geen cryptografische link tussen het gegeven wachtwoord van de
   eindgebruiker en de sleutel die gebruikt wordt voor de encryptie van
   gebruikersdata.
   
   - CVE-2018-12038
   Sleutel-informatie wordt opgeslagen op een wear-leveled storage
   chip. 
   
   
   Het is bekend dat de volgende producten geraakt worden door
   CVE-2018-12037:
   - Crucial (Micron) MX100, MX200 en MX300
   - Samsung T3 en T5 portable drives
   - Samsung 840 EVO en 850 EVO (met ATA security high mode. De
   omstandigheden voor deze kwetsbaarheid in Samsung
   840 EVO en 850 EVO hangen af van een BIOS instelling: Bij ATA high
   mode zijn deze kwetsbaar, bij TCG of ATA max mode zijn deze
   producten niet kwetsbaar.)
   
   Het is bekend dat de volgende producten geraakt worden door
   CVE-2018-12038:
   - Samsung 840 EVO
   
   Vervolgens is ook bekend dat BitLocker, zoals gebundeld bij
   Microsoft Windows, vertrouwt op hardware full-disk encryptie als de
   drive aangeeft dit te kunnen ondersteunen. Dit betekent dat deze
   encryptie implementatie in combinatie met bovenstaande producten ook
   kwetsbaar is.
   
   De onderzoekers geven aan dat producten van andere fabrikanten
   dezelfde kwetsbaarheden kunnen bevatten. De onderzoekers hebben zich
   in de analyses alleen gericht op bovenstaande producten.

Mogelijke oplossingen
   De onderzoekers hebben contact gezocht met NCSC-NL om ze bij te
   staan in het Coordinated Vulnerability Disclosure traject. Het NCSC
   is het afgelopen jaar in contact geweest met de onderzoekers en de
   fabrikanten van de onderzochte apparaten om gezamenlijk deze
   kwetsbaarheden te verhelpen.
   
   
   -= Samsung =-
   Samsung heeft updates beschikbaar gemaakt om de kwetsbaarheden voor
   Samsung SSD T5 en SSD T3. Voor mogelijke oplossingen voor SSD T1
   verzoekt Samsung om contact op te nemen met de leverancier.
   
   https://www.samsung.com/semiconductor/minisite/ssd/support
      /consumer-notice/
   
   -= Crucial =-
   Crucial (Micron) heeft aangegeven voornemens te zijn updates
   beschikbaar te stellen.
   
   -= Microsoft =-
   De encryptie met BitLocker is afhankelijk van de instelling van de
   Group Policy. Meer informatie over deze Group Policy is te vinden
   via de volgende locatie. Het wijzigen van de standaard instelling is
   niet  afdoende om het risico te mitigeren omdat het wijzigen niet
   zorgt voor (her)encryptie van reeds opgeslagen gegevens. Alleen een
   volledig nieuwe installatie, inclusief verwijderen en herformateren
   van gegevens, zorgt voor encryptie via BitLocker.
   
   https://docs.microsoft.com/en-us/previous-versions/windows/it-pro
      /windows-server-2012-R2-and-2012
      /jj679890(v=ws.11)#configure-use-of-hardware-based-encryption-for
      -fixed-data-drives

Hyperlinks
   https://www.ru.nl/english/news-agenda/news/vm/icis/cyber-security
      /2018/security-problem-widely-used-computer-storage/
   https://www.ru.nl/publish/pages/909282/draft-paper.pdf

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.1 (Build 824)
Charset: utf-8
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=HwRQ
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig