Abo
  • Services:
Anzeige
EFI und UEFI lösen das alte BIOS ab.
EFI und UEFI lösen das alte BIOS ab. (Bild: Intel)

Der System Management Mode ist die nächste Hürde zum Überschreiben des Flashspeichers

Eigentlich sollte der System Management Mode (smm) die nächste Hürde für den Zugriff auf den Flashspeicher mit der Firmware sein. Doch auch diese Blockade lässt sich aushebeln, sofern ein System diese überhaupt einsetzt. Dafür nutzen die Hacker den Standby-Modus (ACPI S3) aus. Ein System in diesem Modus und geht beim Aufwachen nicht mehr durch alle Phasen des Bootprozesses durch. Beim Booten wird das Bootscript mit der Plattformkonfiguration gespeichert. Diese Daten werden nach einem S3-Schlafmodus verwendet, um noch effizienter zu starten. Zu dieser Plattformkonfiguration gehören auch die Register, die eigentlich dafür sorgen, dass der Flashspeicher mit der Firmware gesperrt wird. Gelingt es also, die Bootscript-Daten zu manipulieren, ist auch der Verteidigungsmechanismus des System Management Modes ausgehebelt.

Anzeige

Wjtczuk und Kallenberg gelang es so, ein Bootscript in ein System einzuschmuggeln, das systemschädliche Aufgaben übernimmt, um anschließend den Flashspeicher für eigene Zwecke zu manipulieren. Eigentlich gibt es eine Bootscript-Lockbox, die derartige Manipulationen verhindern soll. Doch die beiden Hacker fanden eine solche Lockbox nur auf einem Mainboard für Hardwareentwickler, sonst war sie in der Praxis nicht vorhanden. Aber selbst auf dem Entwickler-Mainboard gelang es ihnen, die Lockbox zu öffnen. Unklar bleibt allerdings, ob dieser Mechanismus, sollte er sich auf Produktivsystemen finden, ebenfalls von einem Angreifer geöffnet werden kann, um Rootkits in der Firmware zu platzieren. Der Angreifer arbeitet jetzt mit den Rechten des System Management Modes.

Letzte Verteidigungsstufe ist nur Theorie

Die Entwickler von UEFI haben an eine dritte Verteidigungsstufe namens Protected Range Masks gedacht. Damit kann nicht einmal ein Prozess im Kontext des mächtigen System Management Modes auf den Flashspeicher zugreifen. Protected Range definiert Teile des Flashspeichers, die nicht beschrieben werden dürfen. Es gibt allerdings immer einen Bereich, der beschrieben werden kann. Betriebssysteme nutzen diesen Bereich zur Laufzeit, um Variablen per SMM zu definieren. Über diesen Bereich gibt es verschiedene Möglichkeiten, Sicherheitslücken in UEFI auszunutzen. Komplex wäre etwa das Ausnutzen von Memory-Corruption-Lücken. Geschieht dies, bevor im Bootprozess die Range Masks definiert werden, werden diese definierten Bereiche mit Schreibschutz wirkungslos.

Es geht aber einfacher. Der SMM kann kommende Firmware-Updates verifizieren. Informationen von UEFI-Entwicklern zufolge wird dem SMM grundsätzlich vertraut. Die Angreifer nutzen also einfach den normalen Update-Mechanismus. Wer erst einmal den System Management Mode für sich erlangt hat, kann mit hoher Wahrscheinlichkeit die Firmware überschreiben. Laut den beiden Hackern nutzt nur HP Protected Range Masks. Doch diese Masken sind nicht vollständig und decken damit nicht alle kritischen Bereiche ab. Erst eine kommende Hardwarefunktion soll dieses Problem beseitigen: die Intel Plattform Armoring Technology. Zu der Technik gibt es aber noch keine Details.

Die Fehler wurden bereits gemeldet

Die Fehler wurden bereits im August 2014 an Intel und andere Hersteller gemeldet. Patches soll es schon geben, so dass in der Theorie die Gefahr nicht mehr besteht. Allerdings patchen nicht alle Mainboard-Hersteller zeitnah gefährliche Sicherheitslücken. Auch kommunizieren die Hersteller derartige Lücken nicht so, wie es Anwender etwa von Sicherheitslücken von Adobe, Oracle oder Microsoft gewohnt sind. Der Rat der Hacker an IT-Manager: Sie sollten ihre Kontakte nutzen und nach den Patches fragen, sollten sie noch nicht vorhanden sein.

Dell, HP und Lenovo unterscheiden sich für Angreifer kaum

Die Gefahr ist jedenfalls erheblich, da Angreifer dank der vereinheitlichen Plattform sich kaum noch an die Hersteller anpassen müssen. Früher mussten BIOS-Angriffe für die jeweiligen Geschäftskundenplattformen der unterschiedlichen Hersteller angepasst werden. Das ist so schwer, dass sich die Arbeit kaum lohnt, wie die Hacker berichteten. Alte UEFI-Angriffe benötigten zudem mitunter mehr als einen Monat. Modernes UEFI und der neue Angriff reduziert den Entwicklungsaufwand auf wenige Tage. Die Angriffe lassen sich dabei nicht nur über Hardwareplattformen (Latitude, Elitebook, Thinkpad) nutzen, sondern auch über Betriebssystemplattformen. Angriffe auf die Firmware wurden sowohl auf einem Windows- als auch einem Linux-Rechner demonstriert.

 Firmware-Hacks: UEFI vereinfacht plattformübergreifende Rootkit-Entwicklung

eye home zur Startseite
Moe479 30. Dez 2014

und? das ist doch vollig wurst, wie bekommt man den dreck aus der eigenen infrastruktur...

Moe479 30. Dez 2014

http://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Kritik

Thaodan 29. Dez 2014

Ka ich habs nicht gemacht, hab kein Windows.



Anzeige

Stellenmarkt
  1. KVM ServicePlus - Kunden- und Vertriebsmanagement GmbH, Halle
  2. GERMANIA Fluggesellschaft mbH, Berlin-Tegel
  3. HUK-COBURG Versicherungsgruppe, Coburg
  4. CodeWrights GmbH, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)

Folgen Sie uns
       


  1. Axel Voss

    Das Leistungsschutzrecht ist nicht die beste Idee

  2. Bayern

    Kostenloses WLAN auf Autobahnrastplätzen freigeschaltet

  3. Waymo

    Robotaxis sollen 2018 in kommerziellen Betrieb gehen

  4. Nach Einbruchsversuch

    Zehntausende Haushalte in Berlin ohne Telefon und Internet

  5. US-Gerichtsurteil

    Einbetten von Tweets kann Urheberrecht verletzen

  6. Anklage in USA erhoben

    So sollen russische Trollfabriken Trump unterstützt haben

  7. Gerichtsurteil

    Facebook drohen in Belgien bis zu 100 Millionen Euro Strafe

  8. Microsoft

    Windows on ARM ist inkompatibel zu 64-Bit-Programmen

  9. Fehler bei Zwei-Faktor-Authentifizierung

    Facebook will keine Benachrichtigungen per SMS schicken

  10. Europa-SPD

    Milliardenfonds zum Ausbau von Elektrotankstellen gefordert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Ryzen 5 2400G und Ryzen 3 2200G im Test: Raven Ridge rockt
Ryzen 5 2400G und Ryzen 3 2200G im Test
Raven Ridge rockt
  1. Raven Ridge AMD verschickt CPUs für UEFI-Update
  2. Krypto-Mining AMDs Threadripper schürft effizient Monero
  3. AMD Zen+ und Zen 2 sind gegen Spectre gehärtet

Dorothee Bär: Netzbetreiber werden über 100 MBit/s angeblich kaum los
Dorothee Bär
Netzbetreiber werden über 100 MBit/s angeblich kaum los
  1. FTTH/B Glasfaser wird in Deutschland besser nachgefragt
  2. Koalitionsvertrag fertig "Glasfaser möglichst direkt bis zum Haus"
  3. Glasfaser Telekom weitet FTTH-Pilotprojekt auf vier Orte aus

  1. Re: Warum hat Kupfer so einen negativen Ruf?

    NaruHina | 07:08

  2. F2 technology LLC

    f2technologyuae | 06:53

  3. Re: Falscher Ansatz: Es müssen neue Infrastruktur...

    KnutRider | 06:49

  4. Re: Wieso emuliert man x86 auf ARM, warum...

    eXXogene | 06:38

  5. Re: 24 Milliarden Euro für Deutschland alleine.

    gadthrawn | 06:33


  1. 07:05

  2. 06:36

  3. 06:24

  4. 21:36

  5. 16:50

  6. 14:55

  7. 11:55

  8. 19:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel