SySS knackt FIPS-zertifizierte Crypto-USB-Sticks von Kingston und SanDisk

Matthias Deeg und Sebastian Schreiber vom Sicherheits- und Penetrationsspezialisten SySS haben zwei verschlüsselnde USB-Speichersticks mit einer FIPS-140-2-Zertifizierung geknackt. Konkret handelt es sich um die Produkte Kingston DataTraveler BlackBox und SanDisk Cruzer Enterprise – FIPS Edition.

Die Produkte würden mit vertrauenserweckenden Marketingaussagen wie FIPS-Zertifizierung und 256-Bit-AES-Verschlüsselung beworben, wiesen aber gravierende Mängel auf. Eine 256-Bit-AES-Verschlüsselung sei nur dann eine sichere Technologie, wenn sie auch auf eine sichere Art und Weise eingesetzt werde.

Die genannten Crypto-Sticks haben das grundsätzliche Problem, dass die Verschlüsselung nicht auf dem Stick selbst, sondern auf der CPU des Computers stattfände. So konnten die Forscher den Debugger OllyDbg nutzen, um ohne den Einsatz weiterer Hardware nach Schwachstellen zu suchen.

Im Verlauf ihrer Analysen stellten die Forscher fest, dass beim Setzen eines neuen Passworts immer derselbe 32 Byte lange Datenblock mit einem MD5-Hashwert des nach UTF-16 (Wide Char) konvertierten Passwords verschlüsselt wird. Um Zugriff auf die geschützte Partition der Sticks zu erhalten, mussten die Forscher nur dafür sorgen, dass die Entschlüsselungsroutine des eingegebenen Passworts diesen bekannten und konstanten Block auswirft.

Dazu entwickelten sie ein In-Memory-Patch-Tool, das das von der lesbaren Partition des Sticks geladene Programm ExmpSrv.exe so modifizierte, dass bei jedem eingegebenen Passwort das korrekte, im Voraus bekannte Ergebnis herauskommt.

Die Hersteller haben auf eine Kontaktaufnahme durch SySS reagiert und stellen Softwareupdates bereit, die diese Schwachstelle beseitigen. Sandisk erlaubt einen Download der neuen Firmware, Kingston hingegen verlangt, dass der USB-Stick eingeschickt wird.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago