Abo
  • Services:
Anzeige
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Lighteater: Bios-Rootkit liest GPG-Schlüssel aus dem Speicher

Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Über Schwachstellen im Bios können Millionen Rechner mit Rootkits infiziert werden, die keiner sieht. Mit dem Rootkit Lighteater lässt sich etwa GPG-Schlüssel aus dem RAM auslesen, selbst im vermeintlich sicheren Live-System Tails. Lighteater wurde zu Demonstrationszwecken entwickelt.

Anzeige

Lighteater heißt ein Schadcode, der in wenigen Minuten im Bios platziert werden kann, selbst aus der Ferne. Einmal implantiert, kann Lighteater auf den Arbeitsspeicher zugreifen und dort etwa GPG-Schlüssel auslesen. Das funktioniert auch bei Live-Systemen wie dem als bislang sicher geltenden Linux-basierten Tails. Grund sind zahlreiche Schwachstellen in mehreren Bios-Versionen, darunter auf Hauptplatinen in Notebooks von Acer, Asus, Dell, Gigabyte, HP oder MSI. Einige Hersteller versprechen Patches. Doch besteht die Gefahr, dass kaum einer ein Bios-Update durchführt.

Über die Schwachstellen in den verschiedenen Bios-Versionen lässt sich der sogenannte System Management Modus (SMM) ausnutzen, um den Angreifern Zugriff auf das Bios zu gewähren. Darüber lässt sich Malware auf den Bios-Chip flashen. Über diese Implantate hat ein Angreifer dann beispielsweise uneingeschränkten Zugriff auf den Arbeitsspeicher und kann dort beliebige Daten auslesen.

Lighteater als Proof-of-Concept

Selbst das Linux-Betriebssystem Tails ist vor solchen Implantaten nicht sicher, auch wenn es völlig unabhängig von dem auf der Festplatte installierten Betriebssystem läuft und damit von dort möglicherweise installierte Keylogger oder dergleichen nicht betroffen sind.

Lighteater ist nicht in Umlauf, sondern ein Proof-of-Concept der beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah. Sie wollen damit demonstrierten, wie sie in Tails den dort genutzten GPG-Schlüssel aus dem Arbeitsspeicher ausgelesen haben. Mit Lighteater lassen sich die ausgelesenen Daten auf einem nichtflüchtigen Speicherbereich ablegen. Von dort kann er dann später ausgelesen werden, etwa wenn Tails im Offlinemodus betrieben wird.

Millionen Rechner sind betroffen

Mit zusätzlichem Schadcode in Lighteater kann Intels Active Management Technology (Intel AMT) dazu genutzt werden, einen seriellen Port für die Angreifer zu öffnen. Dieser kann dann über Intels Serial-Over-LAN-Protokoll angesprochen werden. Darüber lassen sich die von Lighteater ausgelesenen Daten an die Angreifer über das Netzwerk versenden. Selbst mit trivialer ROT13-Verschlüsselung lässt sich der Datenverkehr vor Angrifferkennungssystemen (Intrusion Detection Systems, IDS) wie Snort verstecken.

Bei ihrer Analyse darüber, wie viele Mainboards solche Schwachstellen im Bios mitbringen, hätten Kallenberg und Kovah irgendwann aufgehört zu zählen, schreiben sie in ihrer Präsentation "How many million BIOSes would you like to infect?" anlässlich der IT-Sicherheitskonferenz CanSecWest in Vancouver. Um solche Schwachstellen auszunutzen, benötigten sie noch nicht einmal direkten Zugriff auf den Rechner. Lighteater lasse sich auch über Windows auf unsichere Bios-Versionen aufspielen. Entdeckt ein Angreifer beispielsweise eine offene Schwachstelle im Browser, könnte Lighteater auch darüber installiert werden.

Patches sind in Arbeit

Kallenberg und Kovah, die zuvor bei der Forschungseinrichtung Mitre tätig waren und jetzt ihr eigenes Unternehmen gründeten, haben bereits die betroffenen Hersteller kontaktiert. Dell, Lenovo und HP hätten bereits Patches versprochen, während andere Anbieter entweder noch nicht reagiert haben oder die Schwachstellen abstreiten. In ihrer Präsentation rechnen die beiden Datenexperten vor, dass mehrere Millionen Rechner weltweit anfällig für ihre Lighteater-Malware sind.

Zusammen mit Intel arbeiten die beiden IT-Sicherheitsforscher an einer Lösung, die den Arbeitsspeicher vom System Management Modus abschotten soll. Selbst wenn dann noch ein Einbruch in den SMM möglich wäre, könnte von dort der Arbeitsspeicher nicht mehr ausgelesen werden. Außerdem wäre es möglich, solche Angriffe mit Hilfe von Analysewerkzeugen zu entdecken.

Seit der Veröffentlichung der Snowden-Dokumente über die NSA-Abteilung ANT und deren Fähigkeiten, Hardware mit Implantaten zu versehen, widmen sich IT-Sicherheitsforscher verstärkt der Suche nach möglichen Schwachstellen, die dafür ausgenutzt werden können, etwa in einem Vortrag über Schwachstellen in der Uefi-Firmware auf dem vergangenen 31. Chaos Communications Congress. Lighteater nutzt die dort beschriebene Schwachstelle aus.


eye home zur Startseite
SoniX 25. Mär 2015

Wenn man schnippisch ist, kommts auch zurück. Ich erinnere: Ich bin nicht dein...

Cyrano_B 25. Mär 2015

gibts eigentlich noch Mainboards OHNE UEFI zB für den Intel 1150 Sockel?

/mecki78 24. Mär 2015

Ich verstehe nicht warum die Mainboard Hersteller ihre BIOSe nicht absichern. Das ginge...

Nocta 24. Mär 2015

Andererseits hat man ja auch nichts verloren dadurch. Worst-Case Szenario: User hat kein...

gadthrawn 23. Mär 2015

Wenn schickst du zum umjumpern/Dongel einstecken rum? -> http://business.chip.de/bii/1...



Anzeige

Stellenmarkt
  1. Holz-Henkel GmbH & Co. KG, Göttingen
  2. über Ratbacher GmbH, Hamburg
  3. Bosch Software Innovations GmbH, Waiblingen
  4. ifb KG, Seehausen am Staffelsee


Anzeige
Spiele-Angebote
  1. 34,99€
  2. (-15%) 16,99€
  3. 29,99€

Folgen Sie uns
       


  1. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  2. Fire TV

    Amazon bringt Downloader-App wieder zurück

  3. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  4. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  5. Apple

    Akkuprobleme beim neuen Macbook Pro

  6. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  7. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  8. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  9. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  10. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. Re: Rechtslage in der Schweiz?

    MadMonkey | 09:01

  2. Re: Handy futsch, login futsch?

    zampata | 08:59

  3. Re: Aufgepasst, jetzt machen sich wieder Leute...

    snboris | 08:58

  4. Re: nutzt das wer?

    elgooG | 08:58

  5. Re: Manchmal fühle ich mich auch Blind,

    nils0 | 08:56


  1. 09:10

  2. 08:29

  3. 07:49

  4. 07:33

  5. 07:20

  6. 17:25

  7. 17:06

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel