Op de jaarlijkse Defcon-beveiligingsconferentie in Las Vegas is er een grote traditie van het hacken van geldautomaten. Ze ontgrendelen met technieken voor het kraken van kluisjes, ze optuigen om de persoonlijke gegevens en pincodes van gebruikers te stelen, het bouwen en perfectioneren van ATM-malware en, natuurlijk, ze hacken om al hun geld uit te spugen. Veel van deze projecten zijn gericht op zogenaamde retail-geldautomaten, zelfstandige apparaten zoals je die bij een benzinestation of bar aantreft. Maar vrijdag presenteerde onafhankelijk onderzoeker Matt Burch bevindingen over ‘financiële’ of ‘zakelijke’ geldautomaten die bij banken en andere grote instellingen worden gebruikt.
Burch demonstreert zes kwetsbaarheden in de wijdverspreide beveiligingsoplossing van ATM-fabrikant Diebold Nixdorf, bekend als de Vynamic Security Suite (VSS). De kwetsbaarheden, waarvan het bedrijf zegt dat ze allemaal zijn gepatcht, kunnen door aanvallers worden gebruikt om de versleuteling van de harde schijf van een niet-gepatchte geldautomaat te omzeilen en de volledige controle over de machine over te nemen. En hoewel er oplossingen beschikbaar zijn voor de bugs, waarschuwt Burch dat de patches in de praktijk wellicht niet op grote schaal zullen worden ingezet, waardoor mogelijk sommige geldautomaten en geldautomaten bloot komen te liggen.
“De Vynamic Security Suite doet een aantal dingen: het biedt eindpuntbescherming, USB-filtering, gedelegeerde toegang en meer”, vertelt Burch aan WIRED. “Maar het specifieke aanvalsoppervlak dat ik gebruik is de versleutelingsmodule voor de harde schijf. En er zijn zes kwetsbaarheden, omdat ik het exploitpad en de bestanden zou identificeren, en dat dan aan Diebold zou rapporteren, zij zouden dat probleem patchen, en dan zou ik een andere manier vinden om hetzelfde resultaat te bereiken. Dit zijn relatief simplistische aanvallen.”
De kwetsbaarheden die Burch heeft gevonden, zitten allemaal in de functionaliteit van VSS om schijfversleuteling voor ATM-harde schijven mogelijk te maken. Burch zegt dat de meeste ATM-leveranciers voor dit doel vertrouwen op de BitLlocker Windows-encryptie van Microsoft, maar de VSS van Diebold Nixdorf gebruikt een integratie van derden om integriteitscontroles uit te voeren. Het systeem is opgezet in een dual-boot-configuratie met zowel Linux- als Windows-partities. Voordat het besturingssysteem opstart, voert de Linux-partitie een handtekeningintegriteitscontrole uit om te verifiëren dat de ATM niet is aangetast, en start deze vervolgens op in Windows voor normale werking.
“Het probleem is dat ze, om dat allemaal te kunnen doen, het systeem kraken, wat kansen biedt”, zegt Burch. “Het belangrijkste minpunt dat ik gebruik is dat de Linux-partitie niet gecodeerd is.”
Burch ontdekte dat hij de locatie van kritieke systeemvalidatiebestanden kon manipuleren om de uitvoering van code om te leiden; met andere woorden, geef uzelf controle over de geldautomaat.
Diebold Nixdorf-woordvoerder Michael Jacobsen vertelt WIRED dat Burch de bevindingen uit 2022 voor het eerst aan hen heeft onthuld en dat het bedrijf contact heeft gehad met Burch over zijn lezing bij Defcon. Het bedrijf zegt dat de door Burch gepresenteerde kwetsbaarheden allemaal zijn aangepakt in de patches voor 2022. Burch merkt echter op dat hij, nu hij de afgelopen jaren met nieuwe versies van de kwetsbaarheden is teruggekeerd, begrijpt dat het bedrijf daarmee is doorgegaan. en Burch voegt eraan toe dat hij gelooft dat Diebold Nixdorf de kwetsbaarheden in april op een fundamenteler niveau heeft aangepakt met VSS versie 4.4, die de Linux-partitie codeert.