Firmware: Hacker veröffentlicht Anleitung für UEFI-Rootkits

Ein russischer Hacker hat eine Anleitung veröffentlicht, wie Rootkits über manipulierte UEFIs eingepflanzt werden können. Wie leicht es ist, aktuelle UEFI-Implementierungen anzugreifen, hatten Hacker bereits auf dem 31C3 demonstriert.

Artikel veröffentlicht am ,
Mit Hilfe der ausgelesenen Firmware dieser Chips konnte Oleksiuk seinen Exploit des UEFI-Bios schreiben.
Mit Hilfe der ausgelesenen Firmware dieser Chips konnte Oleksiuk seinen Exploit des UEFI-Bios schreiben. (Bild: Dmytro Oleksiuk)

Ihm habe ein Proof-of-Concept gefehlt, schreibt der russische Hacker Dmytro Oleksiuk in seinem Blog. Deshalb habe er eine Anleitung veröffentlicht, wie Malware in UEFIs (Unified Extensible Firmware Interface) eingepflanzt werden könne. Oleksiuk bezieht sich auf einen Vortrag auf dem Hackerkongress 31C3 Ende des vergangenen Jahres in Hamburg. Dort wurde gezeigt, wie einfach es ist, sich Zugriff auf aktuelle UEFI-Implementierungen zu verschaffen.

Stellenmarkt
  1. Technischer Mitarbeiter für IT, OT & Automatisierungssysteme (m/w/d)
    Merz Pharma GmbH & Co. KGaA, Dessau-Roßlau
  2. Projektmanager_in (w/m/d) Digitale Services
    Stadt Frankfurt am Main, Frankfurt am Main
Detailsuche

Oleksiuk beschreibt, wie er zunächst das Bios auf seiner Testplatine, einer DQ77KB von Intel, ausgelesen habe. Dazu verband er ein FT2232H von FTDI mit dem SPI-Flash-Chip seines Mainboards. Damit könne er wiederholt Experimente mit der Firmware machen, schreibt er. Je nach Mainboard lasse sich die Firmware auch per Software auslesen.

Schritt für Schritt beschreibt Oleksiuk anschließend, wie er mit verschiedenen Open-Source-Werkzeugen die Firmware zunächst analysiert. Damit konnte er die BIOS_CNTL-Register auslesen. Über sein selbst programmiertes Exploit-Modul konnte er anschließend beim Neustart das Bit in dem Register setzen, das einen Schreibzugriff auf das Bios erlaubt. Außerdem gelang es ihm, das Schreibbit TSEGMB für den SMRAM zu setzen. Das ist der Speicherbereich für den System Management Mode, der als zweite Hürde für den Zugriff auf den Flashspeicher gilt.

Selbst gebauter Exploit

Mit seiner Methode konnte er sich jedoch noch keinen Zugriff auf die geschützten Bereiche des SPI-Flashspeichers verschaffen, etwa um dort manipulierte Firmware aufzuspielen. Aber auch ohne Zugriff darauf lasse sich mit deaktiviertem BIOS_CNTL-Register beispielsweise Secure Boot ausschalten.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, virtuell
Weitere IT-Trainings

Neben der ausführlichen Beschreibung seines Angriffs auf das DQ77KB hat Oleksiuk den dafür benötigten Code bei Github veröffentlicht. Der Code funktioniert nur mit diesem Mainboard. Prinzipiell lasse sich der Angriff mit wenigen Anpassungen auch auf weiteren UEFI-Implementierungen umsetzen, schreibt der Hacker.

Laut Wjtczuk und Kallenberg sind die Bios-Systeme von American Megatrends und Phoenix Technologies von den Schwachstellen betroffen. Diejenigen von Apple und IBM jedoch nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
VW-Transporter umgerüstet
Stromern in Deutschland statt stinken im Ausland

Die Firma Naext Automotive baut alte VW-Transporter zu Elektroautos um. Die Macher verstehen ihr Konzept als Gegenentwurf zur Neuwagenindustrie.
Ein Bericht von Haiko Prengel

VW-Transporter umgerüstet: Stromern in Deutschland statt stinken im Ausland
Artikel
  1. Linux: Erste stabile X-Server-Veröffentlichung seit drei Jahren
    Linux
    Erste stabile X-Server-Veröffentlichung seit drei Jahren

    Schon lange wird darüber diskutiert, dass der X.org X-Server kaum noch weiterentwickelt und gepflegt wird. Nun gib es eine neue Version.

  2. XTurismo: Fliegendes Jetski aus Japan für knapp 600.000 Euro
    XTurismo
    Fliegendes Jetski aus Japan für knapp 600.000 Euro

    Wo auch immer man sie fliegen dürfen wird, Multikopter für den Personentransport sind im Kommen. Dieses Flugobjekt kommt aus Japan.

  3. Beats-Kopfhörer bei Saturn zum Aktionspreis
     
    Beats-Kopfhörer bei Saturn zum Aktionspreis

    Eine große Auswahl an leistungsstarken Kopfhörern von Beats befindet sich bei Saturn derzeit im Sonderangebot. Die Aktion läuft aber nicht mehr lange.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • WD Black SN750 1TB 89,90€ • PS5 Digital Edition + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Switch OLED + Metroid Dread 399€ • Kingston 1TB PCIe-SSD 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate (u. a. Apacer 960GB SATA-SSD 82,90€) [Werbung]
    •  /