© Titima/Shutterstock.com, © S&S Media
Angriffe auf und Schwachstellen im Herzstück der Rechner

Angriffsziel Firmware


Die Firmware – egal ob das klassische BIOS oder seine Nachfolger (U)EFI – stellt die Verbindung zwischen Hardware und Betriebssystem dar. Das bedeutet, dass derjenige, der die Firmware kontrolliert, auch das Betriebssystem kontrollieren kann. Eben das ist es, was sie für Angreifer interessant macht, denn bringen sie die Firmware unter ihre Kontrolle, sind alle danach geladenen Schutzmaßnahmen wirkungslos.

Wie sieht es also mit der Sicherheit der Firmware aus? Vermutlich ahnen Sie es schon: Nicht gut. Sonst würde es diesen Artikel ja gar nicht geben. Die Frage, die es zu stellen gilt, ist also: Wie schlimm genau ist es?

In den vergangenen Jahren gab es auf den Sicherheitskonferenzen etliche Vorträge rund um die Sicherheit der Firmware, und einige davon werde ich Ihnen im Folgenden vorstellen. Hinzu kommen die im vergangenen Jahr bekannt gewordenen Probleme mit Intels Management Engine, und sehr wahrscheinlich werden die durch die CPU-Schwachstellen Spectre und Meltdown nötig gewordenen Microcode-Patches ebenfalls noch für Ärger sorgen. Denn auch die werden über die Firmware realisiert, was zum einen automatisch zu neuen Schwachstellen führen wird, zum anderen aber auch ein weiteres potenzielles Angriffsziel darstellt. Aber fangen wir erst einmal mit den „normalen“ Firmware-Problemen an.

UEFI Firmware Rootkits

Los geht es mit einem Vortrag von der Black Hat Asia 2017: Alex Matrosov und Eugene Rodionov haben in ihrem Vortrag „The UEFI Firmware Rootkits: Myths and Reality“ ihre Ergebnisse vorgestellt [1]. Oder vielmehr hat Alex Matrosov die gemeinsamen Ergebnisse vorgestellt, da Eugene Rodionov es nicht auf die Konferenz geschafft hat.

BIOS-Rootkits gibt es schon seit mehr als zwanzig Jahren. Und in diesen zwanzig Jahren haben sie sich ebenso wie das BIOS laufend weiterentwickelt. Ein Wendepunkt, sowohl was die Angriffe als auch die Forschung betrifft, dürfte das Jahr 2013 gewesen sein: Damals entdeckte Dragos Ruiu eigenen Aussagen zufolge auf seinen Laptops eine Schadsoftware, die alle bisher bekannten Schädlinge einschließlich Stuxnet, Flame und Co. alt aussehen ließ [2]: Der BadBIOS genannte Schädling, der sich über USB-Laufwerke verbreiten sollte, kompromittiert das BIOS der angegriffenen Rechner und läuft unter Windows, Linux, Mac OS X und OpenBSD. Außerdem kann er Daten von nicht an das Internet angeschlossenen Rechnern über Umwege per in der Nähe stehenden Rechnern mit Internetverbindung an seinen Command-and-Control-Server schicken. Die „Air Gaps“ üb...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang