In Intels UEFI-Referenzimplementierung, welche zahlreichen PC-Herstellern als Vorlage für ihre UEFI-Firmware dient, entdeckten Mitre-Forscher zwei fatale Sicherheitslücken. Ein Angreifer kann durch die Schwachstellen CVE-2014-4859 und CVE-2014-4860 die Firmware dauerhaft manipulieren, um ein Rootkit zu installieren, welches für das Betriebssystem unsichtbar ist.

Die UEFI-Firmware benutzt eigene Umgebungsvariablen, die das Betriebssystem zum Teil beschreiben und auslesen dürfen. Wenn beim Systemstart die Variable CapsuleUpdateData existiert, versucht die Firmware, ein Image aufzuspüren und weiter zu verarbeiten, welches an einem durch die Variable definierten Speicherbereich liegt. Die dabei an zwei Stellen entstehenden Integer Overflows kann ein Angreifer ausnutzen, um Schadcode zum Zeitpunkt des Bootvorgangs auszuführen, welcher keine gültige Signatur besitzen muss.

Die Mitre-Forscher bezeichnen diesen Angriff als "BIOS Extreme Privilege Escalation". Intel hat seine Referenzimplementierung gepatcht, nachdem sie von den Forschern informiert wurden. Für seine eigene Hardware bietet Intel seit Mai BIOS-Updates an. Dabei sind zahlreiche Server-Mainboards, Mini-PCs vom Typ NUC sowie auch die Entwicklerplattform Galileo betroffen.

Für mehr als 1500 Mobilrechner, Workstations, Desktop-PCs, Kassensysteme und Thin Clients stellt HP gerade BIOS-Updates bereit. Weniger Systeme sind bei Lenovo betroffen. In den folgenden Monaten sollen einige Updates nachgereicht werden. Dells UEFI-BIOS enthält die Fehler nicht.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE