Nachrichten

LightEater - Spion im UEFI-BIOS

Mainboards | HT4U.net
Anlässlich der Sicherheitskonferenz CanSecWest haben Corey Kallenberg und Xeno Kovah ihr neues Betätigungsfeld vorgestellt: Sie kapern das UEFI-BIOS von Hauptplatinen und verschaffen sich auf diese Weise Zugriff auf sämtliche Speicherinhalte. Gegen einen solchen Angriff sind auch Live-Sessions von Betriebssystemen wie Tails (The Amnesic Incognito Live System) vollkommen wehrlos.

Wer nun denkt, dass der Angriff auf ein UEFI-BIOS einen großen Aufwand darstelle, irrt sich gewaltig. Inzwischen sind diverse Sicherheitslücken bekannt, die in unzähligen UEFI-Implementierungen anzutreffen sind, da fast alle Hersteller denselben Code als Grundlage verwenden. Mit ein wenig Mühe kann man einen Schädling erstellen, der das BIOS unterschiedlichster Hauptplatinen befällt und sich dort dauerhaft einnistet. Eine Stichprobe bei mehreren Tausend BIOS-Dateien der Hersteller Acer, ASRock, ASUS, Dell, Gigabyte, HP, LG und Lenovo ergab, dass nur eine Handvoll Angriffe scheitern würde. Dies bedeutet im Umkehrschluss, dass Millionen von Computern akut gefährdet sind.

Kallenberg und Kovah haben für ihre Demonstration einen unheimlichen Trojaner namens LightEater erschaffen. Dieser dringt über Windows 10 in das System ein, umgeht den Schreibschutz des BIOS und setzt sich in dem Bereich, der für den Systemmanagementmodus (SMM) verantwortlich ist, fest. Dort liegt LightEater auf der Lauer und hat ständig vollen Zugriff auf alle Speicherinhalte. Selbst als Live-Session gestartete Betriebssysteme wie Tails lassen sich auf diese Weise angreifen, da der Schädling beim Laden des Betriebssystems bereits aktiv ist. Das Hauptproblem besteht darin, dass SMM uneingeschränkten Lese- und Schreibzugriff auf den gesamten Speicher hat.

In Zusammenarbeit mit Intel wollen Kallenberg und Kovah einen Weg finden, um SMM zu isolieren. Ihr Endziel ist es, dass die Speicherinhalte bei einem erfolgreichen Einbruch in SMM unzugänglich bleiben. Gleichzeitig arbeiten die beiden Sicherheitsexperten mit Firmen wie Dell und Lenovo an der Absicherung der BIOS-Versionen. Allerdings müssen die Hersteller ihre Kunden noch dazu bewegen, die abgedichteten BIOS-Versionen auch einzuspielen.

Autor: mid
[]







Stichworte zur Meldung: Im Spion Lighteater Uefi-bios