Zwei Sicherheitsforscher haben einen Schadcode geschrieben, der sich im BIOS eines Computers einnistet und so unabhängig vom Betriebssystem agieren kann. Das Programm kann sämtlichen Speicher auslesen und kann auch durch eine Neuinstallation des OS nicht gestoppt werden.
[/right
Zwei Sicherheitsforscher haben einen Schadcode geschrieben, der sich im BIOS eines Computers einnistet und so unabhängig vom Betriebssystem agieren kann. Das Programm kann sämtlichen Speicher auslesen und kann auch durch eine Neuinstallation des OS nicht gestoppt werden.
Die beiden Forscher Corey Kallenberg und Xeno Kovah stellten ihren Schadcode am Wochenende auf der CanSecWest-Konferenz vor. Sie nutzen verschiedene Lücken in der Firmware mehrerer Mainboard-Hersteller aus, um ihr Programm namens LightEater direkt im BIOS eines Rechners zu installieren. Dadurch kann LightEater vollkommen unabhängig vom gebooteten Betriebssystem laufen und quasi alle Daten des Systems aus dem RAM-Speicher abgreifen. Selbst ein Betriebssystem, das komplett im Arbeitsspeicher eines Rechners läuft, lässt sich auf diese Weise ausspionieren. Das Programm nutzt dazu den System Management Mode (SMM) und wird so aktiv, bevor Antivieren- oder Sicherheitssoftware überhaupt geladen wird und kann mit Rechten agieren, die sogar über die Administratorrechte eines Windows-PCs hinausgehen.
Die Forscher betonten bei der Präsentation ihrer Malware, dass ein potenzieller Angreifer keinen physischen Zugang zu einem Rechner benötigt, um diesen zu infizieren. Wie sie in einem Proof-of-Concept zeigten, lässt sich LightEater auch über einen Browser auf einen PC bringen. Sie infizierten einen Windows-10-Rechner übers Netz und booteten danach das Live-Linux Tails, das laut Hersteller auch auf kompromittierten Rechnern gefahrlos benutzt werden kann. LightEater konnte beispielsweise einen geheimen PGP-Schlüssel im Klartext aus dem RAM auslesen. Wie die Forscher mitteilten, arbeiten sie mit Intel allerdings bereits daran den Arbeitsspeicher vom System Management Mode abzuschotten, um ein Auslesen zu verhindern.
Laut den Entwicklern waren für die Infizierung des BIOS nur mittelmäßige Hacking-Kenntnisse nötig. Ausnutzen lassen sich dafür Schwachstellen in den UEFI-Codes einiger namhafter Hersteller, wie Dell, Gigabyte, HP und MSI. Einige Firmen kündigten bereits Updates für ihr jeweiliges BIOS an. Das Hauptproblem sei aber, dass nur die wenigsten Nutzer ihr BIOS überhaupt jemals updaten würden und so selbst bekannte Sicherheitslücken noch nach Jahren offen wären.
http://www.gulli.com/
