Neues BIOS-Implantat und Tool zum Aufspüren von Sicherheitslücken debütierten auf der CanSecWest

Als neben vielen anderen Snowden-Enthüllungen auch der Katalog der Spitzeltools der NSA-Abteilung ANT veröffentlicht wurde, gab es an der Absicht der Geheimagentur der USA, Schädlinge in das BIOS ausgewählter Rechner einzuschleusen, keinerlei Zweifel mehr.

Obgleich es wenige Beweise für die Existenz von BIOS-Bootkits in freier Natur gibt, lassen der ANT-Katalog und die erst kürzlich enthüllte Cyberspionage-Plattform der Equation-Gruppe, insbesondere das Modul NSL_933W.DLL, das die Steuerungssoftware von Festplatten großer Hersteller umprogrammiert, keine Zweifel daran, dass Attacken auf Hardware den Bereich der grauen Theorie verlassen haben und nun im realen Leben angekommen sind.

Auf der CanSecWest-Konferenz letzte Woche in Vancouver berichteten die Forscher Corey Kallenberg und Xeno Kovah, frühere Mitarbeiter von MITRE und Gründer des Startups LegbaCore, von einer Untersuchung neuer BIOS-Sicherheitslücken und stellten ein funktionierendes Rootkit-Implantat für das BIOS vor.

„Die meisten BIOS verfügen über einen Schutz vor Modifikation“, sagte Kallenberg gegenüber Threatpost. „Wir haben einen Weg gefunden, das Aufspüren von Sicherheitslücken in diesem Bereich zu automatisieren und diesen Schutz auszuschalten.“

Kallenberg erklärte, dass ein Cyberkrimineller entfernten Zugriff auf einen kompromittierten Computer benötige, um das Implantat zu starten und seine Privilegien auf dem Rechner über die Hardware zu erhöhen. Ihr Exploit deaktiviert die bestehenden Schutzmechanismen, die ein Umprogrammieren der Steuerungssoftware verhindern sollen, wodurch Installation und Start des Implantats möglich werden.

Raffiniert wird ihr Exploit dadurch, dass sie einen Weg gefunden haben, ihren Agenten im System Management Mode, SMM, zu platzieren, der vom Steuerungsprogramm verwendet wird und getrennt vom Betriebssystem läuft, wobei verschiedene Hardwareinterfaces gesteuert werden. Der SMM hat zudem Speicherzugriff, wodurch auch vermeidlich geschützte Betriebssysteme, wie etwa Tails, in die Schusslinie des Implantats geraten.

Tails, ein Betriebssystem, dessen Fokus auf Datenschutz und Anonymität liegt, wird von mobilen Speichermedien, wie etwa USB-Sticks, geladen.

„Die Idee ist, dass, wenn ein Betriebssystem durch ein Implantat kompromittiert wird, Tails durchaus für die Verbindung benutzt werden kann (alle Internetverbindungen laufen über den Browser Tor), da es vor der Schadsoftware geschützt ist, die das eigentliche Betriebssystem befallen hat“, sagte Kallenberg. „Das Implantat wartet, bis Tails geladen wird und saugt dann wichtige Daten aus dem Speicher, um sie dann nach draußen zu schicken. Unser Agent funktioniert im Hintergrund, Tails sieht ihn nicht.“

Ihr Implantat ist laut Aussage der Forscher in der Lage, den verborgenen PGP-Schlüssel abzugreifen, den Tail für die Verschlüsselung der Verbindung benutzt. Es kann zudem Passwörter stehlen und chiffrierte Mitteilungen abfangen. Das Implantat überlebt eine Neuinstallation des Betriebssystems sowie den integrierten Schutz von Tail, von der Fähigkeit, das RAM zu löschen, einmal ganz abgesehen.

„Wir verwahren Daten in einem nicht flüchtigen Speicher und sie werden nicht gelöscht“, sagte Kallenberg. „Die Idee ist, dass allen deutlich vor Augen geführt wird, dass die Ansätze mit geschütztem Laden von der Festplatte architektonisch gegenüber Angriffen verwundbar sind, die auf der BIOS-Ebene ablaufen.“

Kovah erklärte, dass die architektonischen Veränderungen im BIOS-Nachfolger UEFI eine Modularität mit sich gebracht haben, die die Entwicklung vereinfachen sollen. Doch diese Modularität, die in den offenen Code der UEFI-Referenzimplementierung geschrieben ist, lässt Raum für Exploits. Zudem ist es das, worauf der Code vieler Hersteller basiert.

Kovah erläuterte, dass gemeinsamer Code in den BIOS verschiedener Hersteller existiere und dieser Code es möglich mache, zuverlässig Implantate auf den Geräten verschiedener Marken und Modelle zu installieren.

„Der offene Code der Referenzimplementierung erklärt, wie die Daten durchgehen, und in ihm gibt es genau definierte Orte für die interne Datenübertragung ins BIOS”, sagte Kovah. “Man kann in den Referenzcode schauen, um nach Schablonen zu suchen und sehen, dass dieselben Daten in proprietären Versionen vorhanden sind. Diese gemeinsamen Punkte definieren die Hook-Orte.“

Ein Cyberkrimineller kann Code in diese Orte einschleusen, so Kovah, der ergänzt, dass bis zu 100 Modelle von fünf Anbietern ein und denselben Code oder dessen Varianten enthalten.

„Dank diesem Umstand kann man die Zeilensuche zum Hooken zuverlässig automatisieren, Hooks setzen und Code einfügen“, sagte Kovah.

Laut Kovah kann ein Hacker, Verbrecher oder ein Nationalstaat das BIOS auch mittels physischen Zugriffs auf den Computer infizieren, beispielsweise beim Grenzübergang. In einem Threatpost vorliegenden Demovideo konnte Kovah unter Verwendung des Flash-Programmierers DediProg physisch ein Verbindungskabel ans BIOS anschließen und auf diese Weise das Implantat laden.

„Das kann beim Grenzübertritt angewendet werden, bei einer Dienstmädchen-Attacke (Evil Maid) oder bei anderen Angriffen mit physischem Zugriff“, erklärte er. „Hat man einmal Zugriff, so braucht man ungefähr zwei Minuten, nachdem man das BIOS gefunden hat. Die Idee ist, diese Methode auch Laien an die Hand zu geben, ihnen ein Ziel zu geben, den Computer zu öffnen, zu verbinden und auf „Start“ zu drücken. Das Neuaufspielen des Chips dauert ungefähr 50 Sekunden.“

Die Sache ist die: Selbst wenn Sie meinen, einen zuverlässigen Schutz zu haben, weil sie etwa Tails nutzen oder keine Festplatte haben, hat das alles nichts zu sagen“, erklärte Kovah. „Zwei Minuten physischer Zugriff und Sie können jedes beliebige Betriebssystem hacken.“

Die Situation ist nicht komplett hoffnungslos. Die Forscher weisen darauf hin, dass die Hersteller hart daran arbeiten, die Sicherheitslücken zu stopfen, über die sie informiert wurden, doch sie müssen ihre Praxis im sicheren Programmieren verbessern und größere Anstrengungen auf die Abwehr von Exploits verwenden.

„Mit der Zeit, wenn die Ausnutzung von Sicherheitslücken immer mehr Kosten verursacht, da Bugs ständig beseitigt werden und neue Techniken das Ausnutzen erschweren, werden Angriffe auf das BIOS aufgrund ihrer Langlebigkeit im System immer attraktiver werden“, erklärte Kallenberg.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.