Abo
  • Services:
Anzeige
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Lighteater: Bios-Rootkit liest GPG-Schlüssel aus dem Speicher

Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Über Schwachstellen im Bios können Millionen Rechner mit Rootkits infiziert werden, die keiner sieht. Mit dem Rootkit Lighteater lässt sich etwa GPG-Schlüssel aus dem RAM auslesen, selbst im vermeintlich sicheren Live-System Tails. Lighteater wurde zu Demonstrationszwecken entwickelt.

Anzeige

Lighteater heißt ein Schadcode, der in wenigen Minuten im Bios platziert werden kann, selbst aus der Ferne. Einmal implantiert, kann Lighteater auf den Arbeitsspeicher zugreifen und dort etwa GPG-Schlüssel auslesen. Das funktioniert auch bei Live-Systemen wie dem als bislang sicher geltenden Linux-basierten Tails. Grund sind zahlreiche Schwachstellen in mehreren Bios-Versionen, darunter auf Hauptplatinen in Notebooks von Acer, Asus, Dell, Gigabyte, HP oder MSI. Einige Hersteller versprechen Patches. Doch besteht die Gefahr, dass kaum einer ein Bios-Update durchführt.

Über die Schwachstellen in den verschiedenen Bios-Versionen lässt sich der sogenannte System Management Modus (SMM) ausnutzen, um den Angreifern Zugriff auf das Bios zu gewähren. Darüber lässt sich Malware auf den Bios-Chip flashen. Über diese Implantate hat ein Angreifer dann beispielsweise uneingeschränkten Zugriff auf den Arbeitsspeicher und kann dort beliebige Daten auslesen.

Lighteater als Proof-of-Concept

Selbst das Linux-Betriebssystem Tails ist vor solchen Implantaten nicht sicher, auch wenn es völlig unabhängig von dem auf der Festplatte installierten Betriebssystem läuft und damit von dort möglicherweise installierte Keylogger oder dergleichen nicht betroffen sind.

Lighteater ist nicht in Umlauf, sondern ein Proof-of-Concept der beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah. Sie wollen damit demonstrierten, wie sie in Tails den dort genutzten GPG-Schlüssel aus dem Arbeitsspeicher ausgelesen haben. Mit Lighteater lassen sich die ausgelesenen Daten auf einem nichtflüchtigen Speicherbereich ablegen. Von dort kann er dann später ausgelesen werden, etwa wenn Tails im Offlinemodus betrieben wird.

Millionen Rechner sind betroffen

Mit zusätzlichem Schadcode in Lighteater kann Intels Active Management Technology (Intel AMT) dazu genutzt werden, einen seriellen Port für die Angreifer zu öffnen. Dieser kann dann über Intels Serial-Over-LAN-Protokoll angesprochen werden. Darüber lassen sich die von Lighteater ausgelesenen Daten an die Angreifer über das Netzwerk versenden. Selbst mit trivialer ROT13-Verschlüsselung lässt sich der Datenverkehr vor Angrifferkennungssystemen (Intrusion Detection Systems, IDS) wie Snort verstecken.

Bei ihrer Analyse darüber, wie viele Mainboards solche Schwachstellen im Bios mitbringen, hätten Kallenberg und Kovah irgendwann aufgehört zu zählen, schreiben sie in ihrer Präsentation "How many million BIOSes would you like to infect?" anlässlich der IT-Sicherheitskonferenz CanSecWest in Vancouver. Um solche Schwachstellen auszunutzen, benötigten sie noch nicht einmal direkten Zugriff auf den Rechner. Lighteater lasse sich auch über Windows auf unsichere Bios-Versionen aufspielen. Entdeckt ein Angreifer beispielsweise eine offene Schwachstelle im Browser, könnte Lighteater auch darüber installiert werden.

Patches sind in Arbeit

Kallenberg und Kovah, die zuvor bei der Forschungseinrichtung Mitre tätig waren und jetzt ihr eigenes Unternehmen gründeten, haben bereits die betroffenen Hersteller kontaktiert. Dell, Lenovo und HP hätten bereits Patches versprochen, während andere Anbieter entweder noch nicht reagiert haben oder die Schwachstellen abstreiten. In ihrer Präsentation rechnen die beiden Datenexperten vor, dass mehrere Millionen Rechner weltweit anfällig für ihre Lighteater-Malware sind.

Zusammen mit Intel arbeiten die beiden IT-Sicherheitsforscher an einer Lösung, die den Arbeitsspeicher vom System Management Modus abschotten soll. Selbst wenn dann noch ein Einbruch in den SMM möglich wäre, könnte von dort der Arbeitsspeicher nicht mehr ausgelesen werden. Außerdem wäre es möglich, solche Angriffe mit Hilfe von Analysewerkzeugen zu entdecken.

Seit der Veröffentlichung der Snowden-Dokumente über die NSA-Abteilung ANT und deren Fähigkeiten, Hardware mit Implantaten zu versehen, widmen sich IT-Sicherheitsforscher verstärkt der Suche nach möglichen Schwachstellen, die dafür ausgenutzt werden können, etwa in einem Vortrag über Schwachstellen in der Uefi-Firmware auf dem vergangenen 31. Chaos Communications Congress. Lighteater nutzt die dort beschriebene Schwachstelle aus.


eye home zur Startseite
SoniX 25. Mär 2015

Wenn man schnippisch ist, kommts auch zurück. Ich erinnere: Ich bin nicht dein...

Cyrano_B 25. Mär 2015

gibts eigentlich noch Mainboards OHNE UEFI zB für den Intel 1150 Sockel?

/mecki78 24. Mär 2015

Ich verstehe nicht warum die Mainboard Hersteller ihre BIOSe nicht absichern. Das ginge...

Nocta 24. Mär 2015

Andererseits hat man ja auch nichts verloren dadurch. Worst-Case Szenario: User hat kein...

gadthrawn 23. Mär 2015

Wenn schickst du zum umjumpern/Dongel einstecken rum? -> http://business.chip.de/bii/1...



Anzeige

Stellenmarkt
  1. Daimler AG, Hamburg
  2. Brückner Group GmbH, Siegsdorf
  3. qSkills GmbH & Co. KG, Nürnberg
  4. octeo MULTISERVICES GmbH, Duisburg


Anzeige
Spiele-Angebote
  1. 109,99€/119,99€ (Vorbesteller-Preisgarantie)
  2. 15,99€
  3. 7,49€

Folgen Sie uns
       


  1. Hilton Digital Key im Kurztest

    Wenn das iPhone die Hoteltür öffnet

  2. Smartphone

    Essential Phone kommt mit zwei Monaten Verspätung

  3. Touch-ID deaktivieren

    iOS 11 bekommt Polizei-Taste

  4. Alternative Antriebe

    Hyundai baut Brennstoffzellen-SUV mit 580 km Reichweite

  5. Search Light

    Google testet schlanke Such-App

  6. 3D-Drucker

    Neues Verfahren erkennt Manipulationen beim 3D-Druck

  7. AVS Device SDK

    Amazon bringt Alexa auf Raspberry Pi und andere Boards

  8. Adblock Plus

    OLG München erklärt Werbeblocker für zulässig

  9. Streaming

    Netflix plant 7 Milliarden US-Dollar für eigenen Content ein

  10. Coffee Lake

    Core i3 als Quadcores und Core i5 als Hexacores



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Workstation AMD bringt Radeon Pro WX 9100
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Grafikkarte Erste Tests der Radeon Vega FE durchwachsen

  1. Re: Mit 5,64 kg Wasserstoff etwa 600 km weit ???

    Psy2063 | 08:46

  2. Re: And die Golem Kommentar Experten mal wieder...

    Powerhouse | 08:46

  3. Re: Was nicht alles geht wenn konkurrenz da ist.

    Pixel5 | 08:45

  4. Re: Beim APM Alarm musste ich grinsen

    GeroflterCopter | 08:45

  5. Re: Nun ja nach Neustart wird auch Code benötigt

    Screeny | 08:41


  1. 09:01

  2. 08:36

  3. 07:30

  4. 07:16

  5. 17:02

  6. 15:55

  7. 15:41

  8. 15:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel