In der diesjährigen Präsentation "Hacking Exposed" der RSA Conference füllten Cylance-Boss Stuart McClure und seine Mitstreiter zwei Hacks der außergewöhnlicheren Art aus. Sie infizierten in einer der Live-Demos das Unified Extensible Firmware Interface (UEFI) eines aktuellen Gigabyte-Mainboards (Intel Skylake) mit einem Verschlüsselungstrojaner.

Auch Mainboards anderer Hersteller sind laut McClure angreifbar. Lediglich die Payload müsse an die UEFI-Variante anpasst werden.

Der Computer, der verwendetet wurde, lief laut den Sicherheitsforschern mit einem vollständig gepatchten Windows 10. Secure Boot, Device Guard und Virtual Secure Mode sollen ebenfalls in der Demo aktiv gewesen sein. Bereits Anfang 2015 beschrieben die Sicherheitsforscher, wie Angreifer diese Sicherheitsmechanismen umgehen können. Die Ansätze basieren dabei auf BIOS-UEFI-Lücken.

Nachdem der Computer neugestartet wurde, erschien umgehend der Sperrhinweis. Ein Aufruf der UEFI-Einstellungen und Betriebssystemeinstellungen wird anschließend nicht mehr geduldet. Die Mainboard- und UEFI-Hersteller können laut McClure als einzige eine derartige Attacke verhindern. Entweder durch einen Check des BIOS beim Start, wie es etwa Dell anbietet durch ein zweites BIOS oder durch digitale Signaturen. Fallen durch das zweite Bios Ungereimtheiten auf, überschreibt der Prozess die manipulierte Firmware mit einer intakten.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE