Forschern gelingt BIOS-Hack aus der Ferne

Ein Computer-BIOS lässt sich auch aus der Ferne manipulieren. Das haben Sicherheitsforscher einem Bericht von Wired zufolge auf der Konferenz CanSecWest demonstriert. In deren Rahmen fand auch der Hackerwettbewerb Pwn2Own statt. Nur “mittelmäßige” Hacking-Kenntnisse seien nötig, um das Basic Input Output System (BIOS) von Millionen von Geräten zu kompromittieren.

Das BIOS ist für das starten des Computers zuständig und unterstützt das Laden des Betriebssystems. Da es aktiv wird, bevor eine Antiviren- oder Sicherheitssoftware eingreifen kann, können Cyberkriminelle Wired zufolge ungestört Malware ins BIOS einschleusen. Diese funktioniert auch dann noch, wenn die Festplatte eines Computers vollständig gelöscht und das Betriebssystem neu aufgesetzt wurde.

Innerhalb von wenigen Stunden haben die Forscher Xeno Kovah und Corey Kallenberg dem Bericht zufolge die BIOS-Schwachstellen gefunden. Darüber hinaus seien sie in der Lage gewesen, ihre Malware mit vollständigen Systemrechten auszustatten. Somit kann das Schadprogramm auch auf Sicherheit ausgerichtete Betriebssysteme wie Tails angreifen. Unter anderem setzen Aktivisten und Journalisten das OS für geheime Kommunikation sowie den Umgang mit sensiblen Daten ein.

Der Angriff auf ein BIOS lässt sich auf zwei Arten durchführen – über eine Phishing-E-Mail beziehungsweise eine ähnliche Methode oder durch direkte Interaktion mit einem Gerät. Den Forschern zufolge ist bei einem physischen Zugriff auf einen PC eine Infizierung in weniger als zwei Minuten möglich.

Ihre Malware LightEater können auch die Kontrolle über den System-Management-Modus übernehmen. Die Funktion von Intel-Prozessoren erlaube es einer Firmware, bestimmte Aufgaben mit Rechten auszuführen, die sogar Administrator- oder Root-Rechte überträfen. Auf diese Weise könnten Teile des BIOS-Chips neu geschrieben und anschließend Rootkits installiert werden. Zudem ließen sich Passwörter oder andere Daten von einem infizierten System stehlen. Die Malware sei außerdem in der Lage, sämtliche Speicherinhalte auszulesen. Damit könne sie eben auch die Verschlüsselung des Betriebssystems überwinden.

Zahlreiche Systeme betroffen

Die Schwachstellen betrafen rund 80 Prozent der von den Forschern untersuchten Systeme, da die meisten BIOS-Versionen auf demselben Code basierten. Anfällig seien unter anderem PCs von Dell, Hewlett-Packard und Lenovo. Die Fehler seien zudem so einfach zu finden, dass sie ein Skript zur Automatisierung des Verfahrens geschrieben und irgendwann aufgehört hätten, ihre Zahl zu erfassen.

“Es gibt eine Art von Anfälligkeit, die es in Dutzenden Versionen in fast jedem BIOS gibt”, zitiert Wired Kovah. Die Hersteller seien über die Fehler informiert und arbeiteten an Patches, die aber noch nicht ausgeliefert seien. Kovah weist zudem darauf hin, dass nur wenige Nutzer vorhandene BIOS-Updates installieren.

“Da viele Leute ihre BIOS nicht patchen, sind alle Anfälligkeiten, die in den vergangenen Jahren öffentlich gemacht wurden, noch offen und für einen Angreifer verfügbar”, so Kovah weiter. Bei ihrem früheren Arbeitgeber Mitre, das Forschungsaufträge des Verteidigungsministeriums erhält, hätten sie mehrere Jahre damit verbracht, Firmen dazu zu bewegen, BIOS-Patches bereitzustellen. “Sie glauben, das BIOS ist aus den Augen, aus dem Sinn, weil sie nicht viel von Angriffen hören.”

Die Sicherheits-Community müsse sich nun mehr auf Firmware-Hacking konzentrieren, ergänzten die Forscher. Das zeige unter anderem auch das von Forschern von Kaspersky Lab kürzlich entdeckte Firmware-Hacking-Tool.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de