Abo
  • Services:

Lighteater: Bios-Rootkit liest GPG-Schlüssel aus dem Speicher

Über Schwachstellen im Bios können Millionen Rechner mit Rootkits infiziert werden, die keiner sieht. Mit dem Rootkit Lighteater lässt sich etwa GPG-Schlüssel aus dem RAM auslesen, selbst im vermeintlich sicheren Live-System Tails. Lighteater wurde zu Demonstrationszwecken entwickelt.

Artikel veröffentlicht am ,
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Lighteater heißt ein Schadcode, der in wenigen Minuten im Bios platziert werden kann, selbst aus der Ferne. Einmal implantiert, kann Lighteater auf den Arbeitsspeicher zugreifen und dort etwa GPG-Schlüssel auslesen. Das funktioniert auch bei Live-Systemen wie dem als bislang sicher geltenden Linux-basierten Tails. Grund sind zahlreiche Schwachstellen in mehreren Bios-Versionen, darunter auf Hauptplatinen in Notebooks von Acer, Asus, Dell, Gigabyte, HP oder MSI. Einige Hersteller versprechen Patches. Doch besteht die Gefahr, dass kaum einer ein Bios-Update durchführt.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. inovex GmbH, Karlsruhe, Köln

Über die Schwachstellen in den verschiedenen Bios-Versionen lässt sich der sogenannte System Management Modus (SMM) ausnutzen, um den Angreifern Zugriff auf das Bios zu gewähren. Darüber lässt sich Malware auf den Bios-Chip flashen. Über diese Implantate hat ein Angreifer dann beispielsweise uneingeschränkten Zugriff auf den Arbeitsspeicher und kann dort beliebige Daten auslesen.

Lighteater als Proof-of-Concept

Selbst das Linux-Betriebssystem Tails ist vor solchen Implantaten nicht sicher, auch wenn es völlig unabhängig von dem auf der Festplatte installierten Betriebssystem läuft und damit von dort möglicherweise installierte Keylogger oder dergleichen nicht betroffen sind.

Lighteater ist nicht in Umlauf, sondern ein Proof-of-Concept der beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah. Sie wollen damit demonstrierten, wie sie in Tails den dort genutzten GPG-Schlüssel aus dem Arbeitsspeicher ausgelesen haben. Mit Lighteater lassen sich die ausgelesenen Daten auf einem nichtflüchtigen Speicherbereich ablegen. Von dort kann er dann später ausgelesen werden, etwa wenn Tails im Offlinemodus betrieben wird.

Millionen Rechner sind betroffen

Mit zusätzlichem Schadcode in Lighteater kann Intels Active Management Technology (Intel AMT) dazu genutzt werden, einen seriellen Port für die Angreifer zu öffnen. Dieser kann dann über Intels Serial-Over-LAN-Protokoll angesprochen werden. Darüber lassen sich die von Lighteater ausgelesenen Daten an die Angreifer über das Netzwerk versenden. Selbst mit trivialer ROT13-Verschlüsselung lässt sich der Datenverkehr vor Angrifferkennungssystemen (Intrusion Detection Systems, IDS) wie Snort verstecken.

Bei ihrer Analyse darüber, wie viele Mainboards solche Schwachstellen im Bios mitbringen, hätten Kallenberg und Kovah irgendwann aufgehört zu zählen, schreiben sie in ihrer Präsentation "How many million BIOSes would you like to infect?" anlässlich der IT-Sicherheitskonferenz CanSecWest in Vancouver. Um solche Schwachstellen auszunutzen, benötigten sie noch nicht einmal direkten Zugriff auf den Rechner. Lighteater lasse sich auch über Windows auf unsichere Bios-Versionen aufspielen. Entdeckt ein Angreifer beispielsweise eine offene Schwachstelle im Browser, könnte Lighteater auch darüber installiert werden.

Patches sind in Arbeit

Kallenberg und Kovah, die zuvor bei der Forschungseinrichtung Mitre tätig waren und jetzt ihr eigenes Unternehmen gründeten, haben bereits die betroffenen Hersteller kontaktiert. Dell, Lenovo und HP hätten bereits Patches versprochen, während andere Anbieter entweder noch nicht reagiert haben oder die Schwachstellen abstreiten. In ihrer Präsentation rechnen die beiden Datenexperten vor, dass mehrere Millionen Rechner weltweit anfällig für ihre Lighteater-Malware sind.

Zusammen mit Intel arbeiten die beiden IT-Sicherheitsforscher an einer Lösung, die den Arbeitsspeicher vom System Management Modus abschotten soll. Selbst wenn dann noch ein Einbruch in den SMM möglich wäre, könnte von dort der Arbeitsspeicher nicht mehr ausgelesen werden. Außerdem wäre es möglich, solche Angriffe mit Hilfe von Analysewerkzeugen zu entdecken.

Seit der Veröffentlichung der Snowden-Dokumente über die NSA-Abteilung ANT und deren Fähigkeiten, Hardware mit Implantaten zu versehen, widmen sich IT-Sicherheitsforscher verstärkt der Suche nach möglichen Schwachstellen, die dafür ausgenutzt werden können, etwa in einem Vortrag über Schwachstellen in der Uefi-Firmware auf dem vergangenen 31. Chaos Communications Congress. Lighteater nutzt die dort beschriebene Schwachstelle aus.



Anzeige
Top-Angebote
  1. (u. a. HTC U Ultra für 199€ statt 249,95€ im Vergleich)
  2. 239,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt oder 25€ Rabatt bei...
  3. und einen Rabatt von 4,99€ nach dem ersten Knopfdruck erhalten

SoniX 25. Mär 2015

Wenn man schnippisch ist, kommts auch zurück. Ich erinnere: Ich bin nicht dein...

Cyrano_B 25. Mär 2015

gibts eigentlich noch Mainboards OHNE UEFI zB für den Intel 1150 Sockel?

/mecki78 24. Mär 2015

Ich verstehe nicht warum die Mainboard Hersteller ihre BIOSe nicht absichern. Das ginge...

Nocta 24. Mär 2015

Andererseits hat man ja auch nichts verloren dadurch. Worst-Case Szenario: User hat kein...

gadthrawn 23. Mär 2015

Wenn schickst du zum umjumpern/Dongel einstecken rum? -> http://business.chip.de/bii/1...


Folgen Sie uns
       


BMW i3s - Test

Er ist immer noch ein Hingucker: Der knallrote BWM i3s zieht die Blicke anderer Verkehrsteilnehmer auf sich. Doch man muss sich mit dem Hinschauen beeilen. Denn das kleine Elektroauto der Münchner ist mit 185 PS ziemlich flott in der Stadt unterwegs.

BMW i3s - Test Video aufrufen
Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /