Abo
  • Services:
Anzeige
EFI und UEFI lösen das alte BIOS ab.
EFI und UEFI lösen das alte BIOS ab. (Bild: Intel)

Firmware-Hacks: UEFI vereinfacht plattformübergreifende Rootkit-Entwicklung

EFI und UEFI lösen das alte BIOS ab.
EFI und UEFI lösen das alte BIOS ab. (Bild: Intel)

Aktuelle Mainboards haben eine sehr ähnliche UEFI-Implementierung. Angriffe erleichtert dies erheblich, wie Hacker in Hamburg demonstriert haben.

Anzeige

Angriffe auf Firmware in Notebooks und Desktops werden immer einfacher - und damit auch das Platzieren von Rootkits, noch bevor das Betriebssystem und Anwendungen dort eingreifen können. Auf dem 31. Chaos Communication Congress haben Rafal Wjtczuk und Corey Kallenberg Angriffe auf typische Geschäftskundenrechner von HP und Lenovo demonstriert sowie auf ein Elitebook beziehungsweise Thinkpad. Die Angriffe sollen in ihren Tests auch mit anderen modernen PCs funktioniert haben.

Voraussetzung ist laut den Experten ein vergleichsweise modernes Grundsystem mit einer UEFI-Implementierung und einem System Management Mode zur Initialisierung des Systems. Es soll wohl auch ältere Systeme mit Legacy-BIOS-Option betreffen, doch das haben die beiden Hacker nicht genau untersucht.

Schutzmaßnahmen mit Race Condition ausgehebelt

Eigentlich gibt es diverse Schutzmaßnahmen, die verhindern sollen, dass die Firmware ohne weiteres manipuliert werden kann. Die erste ist ein ganz normaler Schalter: Solange das BIOS_CNTL-Register dafür keine Erlaubnis gibt, darf die Firmware nicht manipuliert werden. Doch Wjtczuk und Kallenberg gelang es trotzdem, Schreiboperationen durchzuführen. Sie brauchten dafür nur wenige Millionen Versuche, was bei aktuellen CPUs kaum Zeit erfordert. Dabei nutzen die beiden Angreifer Multithreading aus. Ein Prozess in Form eines Kernel Drivers versucht unentwegt, den Register BIOS_CNTL umzuschalten, was vom System ständig abgewehrt wird.

Der andere Prozess führt gleichzeitig ununterbrochen Schreibversuche in der Firmware aus. Irgendwann gelingt dem zweiten Prozess der Zugriff auf die Firmware. Mit dem Überschreiben weniger Bytes wurde vor dem Publikum das Elitebook so weit beschädigt, dass es nicht mehr booten konnte. Für ein Unternehmen ist das schon ausreichend, um den Betrieb massiv zu schädigen, auch wenn kein Rootkit installiert wird.

Für den Angriff braucht es Administrationsrechte. Das Erlangen erweiterter Rechte in Betriebssystemen ist aber dank zahlreicher, fast schon monatlich auftauchender Sicherheitslücken für einen Angreifer kaum noch ein Hindernis. Dass der Angriff überhaupt möglich ist, liegt daran, dass betroffene Systeme nicht verhindern, dass ein Angreifer mehrere Millionen Mal versucht, das System zu manipulieren. Es ist sozusagen ein Brute-Force-Angriff, der sich leicht beseitigen ließe, wenn das System auffälliges Verhalten nach ein paar Versuchen unterbände.

Der System Management Mode ist die nächste Hürde zum Überschreiben des Flashspeichers 

eye home zur Startseite
Moe479 30. Dez 2014

und? das ist doch vollig wurst, wie bekommt man den dreck aus der eigenen infrastruktur...

Moe479 30. Dez 2014

http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Kritik

Thaodan 29. Dez 2014

Ka ich habs nicht gemacht, hab kein Windows.



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg
  2. operational services GmbH & Co. KG, Frankfurt am Main, München, Nürnberg, Wolfsburg
  3. Woodmark Consulting AG, München
  4. T-Systems International GmbH, Münster


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. 94,90€ statt 109,90€

Folgen Sie uns
       


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Hinweis: Um sich diesen Artikel vorlesen zu...

    Squirrelchen | 03:56

  2. Re: BQ Aquaris X5 Plus (~290¤)

    ve2000 | 03:20

  3. Re: Ist doch billiger

    plutoniumsulfat | 02:29

  4. Re: 30 Stunden auf Abruf ?!?

    plutoniumsulfat | 02:28

  5. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    plutoniumsulfat | 02:21


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel