Trends & News | News

UEFI-Rootkit spioniert unabhängig vom Betriebssystem

Die beiden Sicherheitsforscher Corey Kallenberg und Xeno Kovah haben ein Rootkit namens LightEater entwickelt, welches die UEFI-Firmware eines Rechners infiziert und unabhängig vom gebooteten Betriebssystem alle Fäden in der Hand hält. Sie stellten den Schadcode auf der Sicherheitskonferenz CanSecWest vor, halten ihren Proof-of-Concept-Code allerdings noch unter Verschluss, bis Firmware-Patches mehrerer PC-Hersteller vorliegen.

LightEater missbraucht diverse Lücken in der UEFI-Firmware verschiedenster Systeme, um von einem Windows-System aus bösartigen Code dort zu platzieren. Dabei umgeht es die Mechanismen, die eigentlich dafür sorgen sollen, dass nur befugte Nutzer die Firmware überschreiben dürfen. Zwei Sicherheitslücken dieser Art hatten Kallenberg und Kovah bereits im Oktober 2014 vorgestellt, eine Hand voll weitere Lücken wurden von anderen Forschern entdeckt und sind ebenfalls öffentlich bekannt.

Hat sich LightEater einmal im System eingenistet, nutzt es den System Management Mode (SMM), um seine bösartigen Befehle auszuführen. Darüber kann die Firmware ihr Unwesen unabhängig vom Betriebssystem treiben. Dieses bekommt von den Aktivitäten des Schadcodes nichts mit und kann sich dagegen auch nicht verteidigen. Besonders kritisch ist, dass die Firmware dabei direkten Zugriff auf den kompletten Speicher des Systems hat.

Die Forscher demonstrierten den Angriff, indem sie einen Windows-10-Rechner übers Netz infizierten und danach das Live-Linux Tails booteten. Die Macher von Tails sagen ausdrücklich, dass man ihr Betriebssystem auch gefahrlos auf kompromittierten Rechnern einsetzen könne. Es läuft schließlich aus dem RAM und meidet die infizierte Festplatte. LightEater schlummert allerdings in der Firmware und wartet, bis Tails lohnende Daten – etwa einen geheimen PGP-Schlüssel – im Klartext in den Speicher schreibt. Den kann der Schadcode dann auslesen und in nicht flüchtigen Speicher schreiben. Bootet der Nutzer wieder ins kompromittierte Windows, kann konventioneller Schadcode dort den geheimen Schlüssel abgreifen. Und nicht nur das, die Forscher können nach eigenen Angaben abgegriffene Daten auch direkt ins Netz hochladen – per SMM und ohne Hilfe eines Betriebssystems.

Betroffen ist die Firmware einer ganzen Reihe von Herstellern: Unter anderem gelang den Forschern ihr Angriff auf Systeme mit Mainboards von Dell, HP, Lenovo, Gigabyte, Acer und MSI. Da die Firmware-Umsetzungen oft sehr viel Code gemeinsam haben, mussten die Forscher ihr Rootkit nur wenig anpassen und schätzen, dass Millionen von Rechnern aktuell angreifbar sind. Allerdings benötigt der Angreifer Admin-Rechte unter Windows, um das System erst einmal zu infizieren.

Dell, HP und Lenovo sollen am schnellsten reagiert haben und hätten bereits zugesichert, ihre Firmware abdichten zu wollen. Die Forscher weisen allerdings darauf hin, dass auch mit entsprechenden Patches das Problem besteht, dass fast niemand sein BIOS regelmäßig aktualisiert und entsprechende Lücken deswegen einfach offen bleiben. Die Forscher arbeiten deswegen mit Intel zusammen, um die Zugriffsmöglichkeiten via SMM sinnvoll einzuschränken. (fab@ct.de)

Zertifikatsmissbrauch bei Google- und Microsoft-Domains

Ein finnischer IT-Experte hat es geschafft, sich ein SSL-Zertifikat für die finnische Domain der Windows Live Services ausstellen zu lassen. Mit dem Zertifikat hätte er sich in gesicherte Verbindungen anderer Nutzer zu den Microsoft-Servern einklinken und Daten abgreifen können. Er bewerkstelligte dies, indem er sich das E-Mail-Konto hostmaster@live.fi registrierte und dann ein neues Zertifikat für die Domain bei der Zertifizierungsstelle Comodo bestellte. Es ist üblich, dass bei einem Vorgang dieser Art über die E-Mail-Adresse hinaus keine weitere Prüfung stattfindet. Nach eigener Aussage hatte der Finne die Adresse „zum Spaß“ registriert und das Zertifikat geordert, um zu schauen, ob das möglich sei. Er habe Microsoft sofort informiert, allerdings keine Rückmeldung erhalten.

Nutzer von Windows 8, 8.1, Server 2012, Server 2012 R2 sowie Windows Phone 8 und 8.1 erhielten ein automatisches Update, welches die Liste mit vertrauenswürdigen Zertifikaten des Betriebssystems anpasst und das gefälschte Zertifikat sperrt. Nutzer von Windows Vista, 7, Server 2008, Server 2008 R2 und Server 2003 müssen unter Umständen das Update manuell installieren. Die automatische Zertifikats-Sperrung kann aber auch unter Vista, Windows 7 und Server 2008 R2 mit einem weiteren Update nachgerüstet werden, sodass auch diese Systeme in Zukunft von automatischen Updates der Sperrlisten profitieren (siehe c’t-Link).

Auch Google sind mehrere falsche SSL-Zertifikate für eigene Domains aufgefallen. Diese wurden von der Zwischen-Zertifizierungsstelle MCS Holding herausgegeben und von der Root-CA China Internet Network Information Center (CNNIC) beglaubigt. CNNICs Root-Zertifikat findet sich in den meisten Betriebssystemen und Browsern, die damit den falschen Zertifikaten von MCS vertrauten. Nur die Webbrowser Chrome und Firefox (ab Version 33) sowie ChromeOS weisen diese Zertifikate für Google-Domains zurück, da den Domains dort SSL-Zertifikate ausdrücklich zugeordnet werden (Public-Key Pinning).

Google hat CNNIC und die großen Browser-Hersteller inzwischen informiert sowie die Zertifikate von MCS in Chrome blockiert – auch andere Browser-Hersteller zogen nach. CNNIC erklärte daraufhin, dass ihr Vertrag mit MCS nur die Zertifikate umfasst, die Domains von MCS betreffen. MCS habe allerdings ihren Private Key auf einem Man-in-the-Middle-Proxy installiert, der damit wie eine öffentliche Zertifizierungsstelle agierte und so dann auch Zertifikate für die Google-Domains signierte. Laut Google ist das eine schwere Verletzung des gesamten CA-Systems vergleichbar mit den Verfehlungen der französischen Sicherheitsbehörde ANSSI im Jahr 2013. Google beklagt, dass CNNIC seine Verantwortung und Autorität weiterhin einer Organisation leiht, die nicht in der Lage ist, diese angemessen einzusetzen. (fab@ct.de/rek@ct.de)

Enigmail in neuem Gewand

Enigmail, das quelloffene Mailverschlüsselungs-Plug-in für Thunderbird und SeaMonkey, hat eine überarbeitete Nutzeroberfläche für das Versenden von E-Mails spendiert bekommen. Statt eines Dropdown-Menüs bietet Enigmail 1.8 nun große, auffällige Knöpfe, um E-Mails zu signieren oder zu verschlüsseln. Auch die Einrichtung der Software nach der Installation soll nun einfacher vonstatten gehen. Zusätzlich kann man der Software nun mit Filterregeln beibringen, Nachrichten dauerhaft entschlüsselt zu speichern.

Manch einem Nutzer wird die neue Version allerdings durch eine Warnung aufgefallen sein: Ab dem kommenden Enigmail 1.9 muss man auf GnuPG 2.0.7 oder später umsteigen, da ältere GnuPG-Versionen dann nicht mehr unterstützt werden. Kurz nach Veröffentlichung von Version 1.8 mussten die Entwickler außerdem ein weiteres Update auf Enigmail 1.8.1 nachschieben, um eine Anzahl von Fehlern zu beheben. Dabei handelte es sich vor allem um Bugs, die beim Speichern von verschlüsselten Entwürfen auftreten.

(fab@ct.de)

Air Gap lässt sich mit Temperaturschwankungen überwinden

Forschern der israelischen Ben-Gurion-Universität ist es gelungen, allein durch Temperaturfluktuationen Daten zwischen zwei komplett getrennten Rechnern auszutauschen – das nennen sie BitWhisper. Ein Rechner erzeugt Hitze, ein anderer nutzt allein die eingebauten Temperatursensoren, um die Daten zu empfangen. Damit der Austausch funktioniert, muss der Angreifer freilich beide Systeme mit Schadcode infiziert haben. Außerdem dürfen im Versuchsaufbau der Forscher beide Rechner nicht mehr als 40 cm auseinander stehen und es können maximal 8 Bit pro Stunde übermittelt werden. Die Forscher sind allerdings zuversichtlich, dass sie die Datenrate in Zukunft verbessern können.

Ziel des Angriffes ist es, Systeme zu kapern, die durch einen sogenannte Air Gap geschützt sind. Also Systeme, die nicht mit dem Internet verbunden sind, wie sie etwa bei Geheimdiensten und beim Militär für höchst Vertrauliches zum Einsatz kommen. Auch in kritischen Industrieanlagen gibt es solche Geräte, die im Normalbetrieb nie mit dem Internet verbunden werden. Über BitWhisper könnten trotzdem unauffällig Daten über den Air Gap geschmuggelt werden, ohne etwa darauf hoffen zu müssen, dass ein USB-Stick zwischen den beiden Systemen hin und her getauscht wird. Laut den Forschern könnten in Zukunft auch vernetzte Heizungen oder Klimaanlagen in einem Gebäude missbraucht werden, um Instruktionen an isolierte Rechner zu schicken. (fab@ct.de)

Sicherheits-Notizen

Adobe warnt vor einer Lücke, die Flash-Animationen betrifft, die mit einer unsicheren Version des Flex-SDK erzeugt wurden. Adobe hatte diese Lücke 2011 geschlossen, es sind aber weiterhin verwundbare Flash-Animationen auf Shockwave-Basis im Umlauf.

Die Entwickler des Linux-Kernels haben einen Patch entwickelt, der Rowhammer-Angriffe erschweren soll. Dieser wird voraussichtlich in Version 4.0 des Kernels einfließen.

Googles Forscher haben einen Exploit für Windows 8.x herausgegeben, der normalen Nutzern SYSTEM-Rechte verschafft (Privilege Escalation). Das Problem soll auch unter Windows 7 existieren. Microsoft weiß seit Monaten darüber Bescheid, verweist aber nur auf kompliziert zu aktivierende Schutzfunktionen (siehe c’t-Link) statt zu patchen.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige