Abo
  • Services:

Lighteater: Bios-Rootkit liest GPG-Schlüssel aus dem Speicher

Über Schwachstellen im Bios können Millionen Rechner mit Rootkits infiziert werden, die keiner sieht. Mit dem Rootkit Lighteater lässt sich etwa GPG-Schlüssel aus dem RAM auslesen, selbst im vermeintlich sicheren Live-System Tails. Lighteater wurde zu Demonstrationszwecken entwickelt.

Artikel veröffentlicht am ,
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Lighteater heißt ein Schadcode, der in wenigen Minuten im Bios platziert werden kann, selbst aus der Ferne. Einmal implantiert, kann Lighteater auf den Arbeitsspeicher zugreifen und dort etwa GPG-Schlüssel auslesen. Das funktioniert auch bei Live-Systemen wie dem als bislang sicher geltenden Linux-basierten Tails. Grund sind zahlreiche Schwachstellen in mehreren Bios-Versionen, darunter auf Hauptplatinen in Notebooks von Acer, Asus, Dell, Gigabyte, HP oder MSI. Einige Hersteller versprechen Patches. Doch besteht die Gefahr, dass kaum einer ein Bios-Update durchführt.

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln

Über die Schwachstellen in den verschiedenen Bios-Versionen lässt sich der sogenannte System Management Modus (SMM) ausnutzen, um den Angreifern Zugriff auf das Bios zu gewähren. Darüber lässt sich Malware auf den Bios-Chip flashen. Über diese Implantate hat ein Angreifer dann beispielsweise uneingeschränkten Zugriff auf den Arbeitsspeicher und kann dort beliebige Daten auslesen.

Lighteater als Proof-of-Concept

Selbst das Linux-Betriebssystem Tails ist vor solchen Implantaten nicht sicher, auch wenn es völlig unabhängig von dem auf der Festplatte installierten Betriebssystem läuft und damit von dort möglicherweise installierte Keylogger oder dergleichen nicht betroffen sind.

Lighteater ist nicht in Umlauf, sondern ein Proof-of-Concept der beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah. Sie wollen damit demonstrierten, wie sie in Tails den dort genutzten GPG-Schlüssel aus dem Arbeitsspeicher ausgelesen haben. Mit Lighteater lassen sich die ausgelesenen Daten auf einem nichtflüchtigen Speicherbereich ablegen. Von dort kann er dann später ausgelesen werden, etwa wenn Tails im Offlinemodus betrieben wird.

Millionen Rechner sind betroffen

Mit zusätzlichem Schadcode in Lighteater kann Intels Active Management Technology (Intel AMT) dazu genutzt werden, einen seriellen Port für die Angreifer zu öffnen. Dieser kann dann über Intels Serial-Over-LAN-Protokoll angesprochen werden. Darüber lassen sich die von Lighteater ausgelesenen Daten an die Angreifer über das Netzwerk versenden. Selbst mit trivialer ROT13-Verschlüsselung lässt sich der Datenverkehr vor Angrifferkennungssystemen (Intrusion Detection Systems, IDS) wie Snort verstecken.

Bei ihrer Analyse darüber, wie viele Mainboards solche Schwachstellen im Bios mitbringen, hätten Kallenberg und Kovah irgendwann aufgehört zu zählen, schreiben sie in ihrer Präsentation "How many million BIOSes would you like to infect?" anlässlich der IT-Sicherheitskonferenz CanSecWest in Vancouver. Um solche Schwachstellen auszunutzen, benötigten sie noch nicht einmal direkten Zugriff auf den Rechner. Lighteater lasse sich auch über Windows auf unsichere Bios-Versionen aufspielen. Entdeckt ein Angreifer beispielsweise eine offene Schwachstelle im Browser, könnte Lighteater auch darüber installiert werden.

Patches sind in Arbeit

Kallenberg und Kovah, die zuvor bei der Forschungseinrichtung Mitre tätig waren und jetzt ihr eigenes Unternehmen gründeten, haben bereits die betroffenen Hersteller kontaktiert. Dell, Lenovo und HP hätten bereits Patches versprochen, während andere Anbieter entweder noch nicht reagiert haben oder die Schwachstellen abstreiten. In ihrer Präsentation rechnen die beiden Datenexperten vor, dass mehrere Millionen Rechner weltweit anfällig für ihre Lighteater-Malware sind.

Zusammen mit Intel arbeiten die beiden IT-Sicherheitsforscher an einer Lösung, die den Arbeitsspeicher vom System Management Modus abschotten soll. Selbst wenn dann noch ein Einbruch in den SMM möglich wäre, könnte von dort der Arbeitsspeicher nicht mehr ausgelesen werden. Außerdem wäre es möglich, solche Angriffe mit Hilfe von Analysewerkzeugen zu entdecken.

Seit der Veröffentlichung der Snowden-Dokumente über die NSA-Abteilung ANT und deren Fähigkeiten, Hardware mit Implantaten zu versehen, widmen sich IT-Sicherheitsforscher verstärkt der Suche nach möglichen Schwachstellen, die dafür ausgenutzt werden können, etwa in einem Vortrag über Schwachstellen in der Uefi-Firmware auf dem vergangenen 31. Chaos Communications Congress. Lighteater nutzt die dort beschriebene Schwachstelle aus.



Anzeige
Spiele-Angebote
  1. (-55%) 17,99€
  2. 23,49€
  3. 12,49€
  4. 34,99€ (erscheint am 14.02.)

SoniX 25. Mär 2015

Wenn man schnippisch ist, kommts auch zurück. Ich erinnere: Ich bin nicht dein...

Cyrano_B 25. Mär 2015

gibts eigentlich noch Mainboards OHNE UEFI zB für den Intel 1150 Sockel?

/mecki78 24. Mär 2015

Ich verstehe nicht warum die Mainboard Hersteller ihre BIOSe nicht absichern. Das ginge...

Nocta 24. Mär 2015

Andererseits hat man ja auch nichts verloren dadurch. Worst-Case Szenario: User hat kein...

gadthrawn 23. Mär 2015

Wenn schickst du zum umjumpern/Dongel einstecken rum? -> http://business.chip.de/bii/1...


Folgen Sie uns
       


Audi Holoride ausprobiert (CES 2019)

Dirk Kunde probiert für Golem.de den Holoride von Audi aus. Gemeinsam mit Marvel-Figuren wie Rocket aus Guardians of the Galaxy sitzt er dafür auf der Rückbank, während es um eine Rennstrecke geht.

Audi Holoride ausprobiert (CES 2019) Video aufrufen
Halbleiter: Organische Elektronik zum Dahinschmelzen
Halbleiter
Organische Elektronik zum Dahinschmelzen

US-Forscher haben einen ungewöhnlichen, organischen Halbleiter entwickelt. Er hält extremen Temperaturen stand und macht neuartige Sensoren möglich.
Ein Bericht von Dirk Eidemüller

  1. Implosion Fabrication MIT-Forscher schrumpfen Objekte
  2. Meeresverschmutzung The Ocean Cleanup sammelt keinen Plastikmüll im Pazifik
  3. Elowan Pflanze steuert Roboter

Bright Memory angespielt: Brachialer PC-Shooter aus China
Bright Memory angespielt
Brachialer PC-Shooter aus China

Nur ein Entwickler und lediglich eine Stunde Spielzeit - trotzdem wischt das nur rund 6 Euro teure und ausschließlich für Windows-PC erhältliche Bright Memory mit vielen Vollpreisspielen den Boden. Selbst die vollständig chinesische Sprachausgabe stört fast nicht.

  1. Strange Brigade angespielt Feuergefechte mit Mumien und Monstern

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

    •  /