Microsoft: Windows überprüft Firmware und Boot auf Manipulationen
Microsoft hat die Initiative Secured-core-PC angekündigt(öffnet im neuen Fenster) . Gemeinsam mit seinen Hardware-Partnern Dell, Dynabook, HP, Lenovo und Panasonic sollen damit besonders abgesicherte Systeme samt Windows-Software zertifiziert werden. Die wichtigste technische Neuerung dabei ist, dass im Bootprozess Manipulationen an der Firmware und der Startsoftware erkannt werden sollen. Die Nutzung von Bootkits durch Angreifer soll damit weitgehend verhindert werden.
Neu sind die Überlegungen dazu nicht. Bereits vor 10 Jahren prägte die Sicherheitsforscherin Joanna Rutkowska den Begriff Evil Maid Attack(öffnet im neuen Fenster) . Dieser beschreibt einen praktischen Angriff auf die Firmware eines unbeaufsichtigten Rechners durch eine Putzkraft. Zwar sollen Techniken wie etwa UEFI Secure Boot vor einer so durchgeführten Veränderung des Betriebssystems schützen, theoretisch möglich ist unter bestimmten Umständen aber immer noch eine Manipulation der Firmware selbst, die dann ein scheinbar vertrauenswürdiges System startet.
Mit den Vorgaben für die Secured-core-PCs will Microsoft genau das verhindern. Grundlage dafür ist die Technik System Guard Secure Launch(öffnet im neuen Fenster) , die Microsoft mit Windows 10 1809 eingeführt hat. Damit wird ein sogenannter Dynamic Root of Trust for Measurement (DRTM) umgesetzt. Ziel ist es dabei, dass der Rechner zunächst auch nicht vertrauenswürdigen Code zum Start verwendet.
Dynamisches statt statisches Vertrauen
Über spezielle CPU-Befehle soll danach jedoch wieder eine sichere Umgebung geschaffen werden können, in der die Firmware sowie der eigentliche Bootloader für das Betriebssystem vermessen werden können. Dies geschieht mit Hilfe von Hashfunktionen sowie einem TPM. Intel nennt diese Technik Trusted Execution Technology ( Intel TXT(öffnet im neuen Fenster) ) und AMD Secure Startup. Microsoft nennt in seiner Ankündigung explizit auch Qualcomm als Partner, der ein DRTM also offensichtlich ebenso unterstützt.
Das Vertrauen in das Überprüfen der Integrität des Bootvorgangs wird bei der Nutzung dieser Technik von der System-Firmware wie UEFI in Richtung Hardware verschoben. Zwar sorgt auch das für Probleme, wie etwa die vielen Angriffe auf Intels Management Engine zeigen - bis hin zum Vollzugriff . Üblicherweise ist aber davon auszugehen, dass das Verändern dieser auch als Ring -3 bezeichneten Komponenten deutlich schwieriger sein sollte als das Verändern darüber liegender Firmware-Schichten wie etwa UEFI.
Bekannte Ideen und neuer SMM-Schutz
Zum Überprüfen und Vermessen der Firmware gibt es im Gegensatz zu dem von Microsoft nun forcierten dynamischen System noch eine statische Variante (SRTM). Dabei wird ein unveränderlicher Ausgangspunkt zum Verifizieren des Bootvorgangs genutzt, der dann wiederum nachfolgende Komponenten verifiziert. Umgesetzt wird SRTM etwa mit Intels Boot-Guard-Technologie, dem Verified Boot von ChromeOS(öffnet im neuen Fenster) oder der Kombination aus Coreboot und Payloads wie der Heads-Firmware .
Laut Microsoft hat die Verwendung von SRTM für den Hersteller aber einige Nachteile. Das ist vor allem auf die vielen verschiedenen Kombinationsmöglichkeiten aus Hardware- und Firmware-Varianten zurückzuführen, auf denen letztlich Windows-Systeme ausgeführt werden. Mit dem DRTM ist die Technik aber nicht mehr an spezifische Hardware-Konfigurationen gebunden und kann so einfacher umgesetzt werden.
DRTM-Systeme existieren schon länger auch für Linux wie etwa Tboot, das unter anderem vom Xen-Projekt für seinen gleichnamigen Hypervisor verwendet wird. Verschiedene Linux-Distributionen ermöglichen darüber hinaus ebenfalls die Verwendung von Tboot, jedoch nicht standardmäßig, so dass dies manuell konfiguriert werden muss(öffnet im neuen Fenster) .
SMM-Überwachung
Zusätzlich zu dem Secure Launch bieten die Secure-core-PCs außerdem noch einen Schutz vor Angriffen über den System Management Mode (SMM). Dabei handelt es sich um einen Ausführungsmodus, bei dem die Kontrolle des Betriebssystem über die Hardware kurzzeitig durch die Firmware unterbrochen wird. Darüber lassen sich etwa die Energie-Verwaltung oder die Temperaturüberwachung umsetzen.
Für das Betriebssystem sind die Abläufe des SMM jedoch nicht sichtbar, was das System laut Microsoft für Angriffe attraktiv macht. Insbesondere könnten über SMM-Angriffe Speicherbereiche des Hypervisors verändert werden, was wiederum die abgesicherte Bootkette unterläuft.
Microsoft will dies künftig durch die Nutzung eines Speicher-Schutzes vermeiden. Hinzu kommt ein spezieller Supervisor für die SMM-Interrupts (SMI), der den Zugriff des SMM auf Speicherbereiche überwachen soll. Diese SMM-Überwachung baut dabei auf Secure Launch auf. Laut der Ankündigung von AMD(öffnet im neuen Fenster) ist der SMI-Supervisor dabei Teil der Bausteine des DRTM.
Für interessierte Nutzer und Käufer stellt Microsoft eine Übersicht der bereits verfügbaren Secured-core-PCs(öffnet im neuen Fenster) seiner Hardware-Partner bereit.