Ada tradisi besar di konferensi keamanan tahunan Defcon di Las Vegas untuk meretas ATM. Membuka mereka dengan teknik safecracking, merakit mereka untuk mencuri data pribadi pengguna dan PIN, membuat dan menyempurnakan malware ATM, dan tentu saja, meretas mereka untuk mengeluarkan semua uang tunai mereka. Banyak proyek ini menargetkan apa yang dikenal sebagai ATM ritel, perangkat mandiri seperti yang akan Anda temukan di pompa bensin atau bar. Tetapi pada hari Jumat, peneliti independen Matt Burch akan menyajikan temuan terkait dengan ATM “keuangan” atau “perusahaan” yang digunakan di bank dan lembaga besar lainnya.
Burch sedang mendemonstrasikan enam kerentanan dalam solusi keamanan yang banyak digunakan oleh pembuat ATM Diebold Nixdorf, yang dikenal sebagai Vynamic Security Suite (VSS). Kerentanan-kementan ini, yang dikatakan oleh perusahaan telah diperbaiki semua, bisa dimanfaatkan oleh penyerang untuk melewati enkripsi hard drive ATM yang belum diperbaiki dan mengambil alih kendali penuh mesin. Dan meskipun ada pembaruan tersedia untuk bug tersebut, Burch memperingatkan bahwa, dalam prakteknya, pembaruan mungkin tidak tersebar luas, potensial meninggalkan beberapa ATM dan sistem cash-out terkena dampak.
“Vynamic Security Suite melakukan beberapa hal – memiliki perlindungan ujung, penyaringan USB, akses yang didelegasikan, dan banyak lagi,” kata Burch kepada WIRED. “Tapi permukaan serangan spesifik yang saya manfaatkan adalah modul enkripsi hard drive. Dan ada enam kerentanan, karena saya akan mengidentifikasi jalur dan file untuk dimanfaatkan, dan kemudian saya akan melaporkannya ke Diebold, mereka akan memperbaiki masalah itu, dan kemudian saya akan menemukan cara lain untuk mencapai hasil yang sama. Mereka adalah serangan yang relatif sederhana.”
Kerentanan yang ditemukan Burch semuanya terkait dengan fungsionalitas VSS untuk mengaktifkan enkripsi disk untuk hard drive ATM. Burch mengatakan bahwa kebanyakan produsen ATM mengandalkan enkripsi Windows BitLocker milik Microsoft untuk tujuan ini, tetapi VSS Diebold Nixdorf menggunakan integrasi pihak ketiga untuk menjalankan pemeriksaan integritas. Sistem ini diatur dalam konfigurasi dual-boot yang memiliki partisi Linux dan Windows. Sebelum sistem operasi boot, partisi Linux menjalankan pemeriksaan integritas tanda tangan untuk memvalidasi bahwa ATM tidak telah dikompromikan, dan kemudian mem-boot ke Windows untuk operasi normal.
“Masalahnya adalah, untuk melakukan semua itu, mereka mendekripsi sistem, yang membuka peluang,” kata Burch. “Kelemahan inti yang saya manfaatkan adalah bahwa partisi Linux tidak dienkripsi.”
Burch menemukan bahwa dia bisa memanipulasi lokasi file validasi sistem penting untuk mengalihkan eksekusi kode; dengan kata lain, memberikan dirinya kontrol atas ATM.
Jurubicara Diebold Nixdorf Michael Jacobsen mengatakan kepada WIRED bahwa Burch pertama kali mengungkapkan temuannya kepada mereka pada tahun 2022 dan bahwa perusahaan telah berhubungan dengan Burch tentang pembicaraannya di Defcon. Perusahaan mengatakan bahwa kerentanan yang disajikan Burch semuanya diselesaikan dengan pembaruan pada tahun 2022. Burch mencatat, meskipun, bahwa saat dia kembali ke perusahaan dengan versi baru dari kerentanan selama dua tahun terakhir, pemahamannya adalah bahwa perusahaan terus menangani beberapa temuan dengan pembaruan pada tahun 2023. Dan Burch menambahkan bahwa dia percaya Diebold Nixdorf menangani kerentanan tersebut pada tingkat yang lebih mendasar pada April dengan versi VSS 4.4 yang mengenkripsi partisi Linux.