• IT-Karriere:
  • Services:

Lighteater: Bios-Rootkit liest GPG-Schlüssel aus dem Speicher

Über Schwachstellen im Bios können Millionen Rechner mit Rootkits infiziert werden, die keiner sieht. Mit dem Rootkit Lighteater lässt sich etwa GPG-Schlüssel aus dem RAM auslesen, selbst im vermeintlich sicheren Live-System Tails. Lighteater wurde zu Demonstrationszwecken entwickelt.

Artikel veröffentlicht am ,
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können.
Mit ihrem Rootkit Lighteater demonstrieren Datenexperten, wie Schwachstellen im Bios ausgenutzt werden können. (Bild: Corey Kallenberg, Xeno Kovah)

Lighteater heißt ein Schadcode, der in wenigen Minuten im Bios platziert werden kann, selbst aus der Ferne. Einmal implantiert, kann Lighteater auf den Arbeitsspeicher zugreifen und dort etwa GPG-Schlüssel auslesen. Das funktioniert auch bei Live-Systemen wie dem als bislang sicher geltenden Linux-basierten Tails. Grund sind zahlreiche Schwachstellen in mehreren Bios-Versionen, darunter auf Hauptplatinen in Notebooks von Acer, Asus, Dell, Gigabyte, HP oder MSI. Einige Hersteller versprechen Patches. Doch besteht die Gefahr, dass kaum einer ein Bios-Update durchführt.

Stellenmarkt
  1. operational services GmbH & Co. KG, Dresden, Berlin, Frankfurt am Main, München
  2. OXFAM Deutschland Shops gGmbH, Berlin

Über die Schwachstellen in den verschiedenen Bios-Versionen lässt sich der sogenannte System Management Modus (SMM) ausnutzen, um den Angreifern Zugriff auf das Bios zu gewähren. Darüber lässt sich Malware auf den Bios-Chip flashen. Über diese Implantate hat ein Angreifer dann beispielsweise uneingeschränkten Zugriff auf den Arbeitsspeicher und kann dort beliebige Daten auslesen.

Lighteater als Proof-of-Concept

Selbst das Linux-Betriebssystem Tails ist vor solchen Implantaten nicht sicher, auch wenn es völlig unabhängig von dem auf der Festplatte installierten Betriebssystem läuft und damit von dort möglicherweise installierte Keylogger oder dergleichen nicht betroffen sind.

Lighteater ist nicht in Umlauf, sondern ein Proof-of-Concept der beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah. Sie wollen damit demonstrierten, wie sie in Tails den dort genutzten GPG-Schlüssel aus dem Arbeitsspeicher ausgelesen haben. Mit Lighteater lassen sich die ausgelesenen Daten auf einem nichtflüchtigen Speicherbereich ablegen. Von dort kann er dann später ausgelesen werden, etwa wenn Tails im Offlinemodus betrieben wird.

Millionen Rechner sind betroffen

Mit zusätzlichem Schadcode in Lighteater kann Intels Active Management Technology (Intel AMT) dazu genutzt werden, einen seriellen Port für die Angreifer zu öffnen. Dieser kann dann über Intels Serial-Over-LAN-Protokoll angesprochen werden. Darüber lassen sich die von Lighteater ausgelesenen Daten an die Angreifer über das Netzwerk versenden. Selbst mit trivialer ROT13-Verschlüsselung lässt sich der Datenverkehr vor Angrifferkennungssystemen (Intrusion Detection Systems, IDS) wie Snort verstecken.

Bei ihrer Analyse darüber, wie viele Mainboards solche Schwachstellen im Bios mitbringen, hätten Kallenberg und Kovah irgendwann aufgehört zu zählen, schreiben sie in ihrer Präsentation "How many million BIOSes would you like to infect?" anlässlich der IT-Sicherheitskonferenz CanSecWest in Vancouver. Um solche Schwachstellen auszunutzen, benötigten sie noch nicht einmal direkten Zugriff auf den Rechner. Lighteater lasse sich auch über Windows auf unsichere Bios-Versionen aufspielen. Entdeckt ein Angreifer beispielsweise eine offene Schwachstelle im Browser, könnte Lighteater auch darüber installiert werden.

Patches sind in Arbeit

Kallenberg und Kovah, die zuvor bei der Forschungseinrichtung Mitre tätig waren und jetzt ihr eigenes Unternehmen gründeten, haben bereits die betroffenen Hersteller kontaktiert. Dell, Lenovo und HP hätten bereits Patches versprochen, während andere Anbieter entweder noch nicht reagiert haben oder die Schwachstellen abstreiten. In ihrer Präsentation rechnen die beiden Datenexperten vor, dass mehrere Millionen Rechner weltweit anfällig für ihre Lighteater-Malware sind.

Zusammen mit Intel arbeiten die beiden IT-Sicherheitsforscher an einer Lösung, die den Arbeitsspeicher vom System Management Modus abschotten soll. Selbst wenn dann noch ein Einbruch in den SMM möglich wäre, könnte von dort der Arbeitsspeicher nicht mehr ausgelesen werden. Außerdem wäre es möglich, solche Angriffe mit Hilfe von Analysewerkzeugen zu entdecken.

Seit der Veröffentlichung der Snowden-Dokumente über die NSA-Abteilung ANT und deren Fähigkeiten, Hardware mit Implantaten zu versehen, widmen sich IT-Sicherheitsforscher verstärkt der Suche nach möglichen Schwachstellen, die dafür ausgenutzt werden können, etwa in einem Vortrag über Schwachstellen in der Uefi-Firmware auf dem vergangenen 31. Chaos Communications Congress. Lighteater nutzt die dort beschriebene Schwachstelle aus.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (reduzierte Überstände, Restposten & Co.)

SoniX 25. Mär 2015

Wenn man schnippisch ist, kommts auch zurück. Ich erinnere: Ich bin nicht dein...

Cyrano_B 25. Mär 2015

gibts eigentlich noch Mainboards OHNE UEFI zB für den Intel 1150 Sockel?

/mecki78 24. Mär 2015

Ich verstehe nicht warum die Mainboard Hersteller ihre BIOSe nicht absichern. Das ginge...

Nocta 24. Mär 2015

Andererseits hat man ja auch nichts verloren dadurch. Worst-Case Szenario: User hat kein...

gadthrawn 23. Mär 2015

Wenn schickst du zum umjumpern/Dongel einstecken rum? -> http://business.chip.de/bii/1...


Folgen Sie uns
       


Golem-Akademie - Trainer Stefan stellt sich vor

Rund 20 Jahre Erfahrung als Manager und Mitglied der Geschäftsleitung im internationalen Kontext sowie als Berater sind die Basis seiner Trainings. Der Diplom-Ingenieur Stefan Bayer hat als Mitarbeiter der ersten Stunde bei Amazon.de den Servicegedanken in der kompletten Supply Chain in Deutschland entscheidend mitgeprägt und bis zu 4.500 Menschen geführt. Er ist als Trainer und Coach spezialisiert auf die Begleitung von Führungskräften und Management-Teams sowie auf prozessorientierte Trainings.

Golem-Akademie - Trainer Stefan stellt sich vor Video aufrufen
Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Sicherheitslücke Forscherin kann smarte Futterstationen von Xiaomi übernehmen
  2. Mi 9 Lite Xiaomi bringt Smartphone mit Dreifachkamera für 300 Euro
  3. Mi Smart Band 4 Xiaomis neues Fitness-Armband kostet 35 Euro

    •  /