Extreme Privilege Escalation: Gefährliche Sicherheitslücken in UEFI-Firmware

Forscher entdeckten Lücken in Intels UEFI-Implementierung, durch die sich Rootkits einschleusen lassen. HP hat daraufhin Firmware-Updates für über 1500 Varianten von PCs, Notebooks, Server etc. veröffentlicht. Das ganze Ausmaß ist noch nicht absehbar.

Mitre-Forscher haben zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung entdeckt, die zahlreichen PC-Herstellern als Blaupause für deren UEFI-Firmware dient. UEFI-Firmware läuft als BIOS auf Desktop-PCs, Notebooks, Servern, Mainboards und Embedded Systems. Durch die Schwachstellen CVE-2014-4859 und CVE-2014-4860 kann ein Angreifer die Firmware dauerhaft manipulieren, um etwa ein für das Betriebssystem unsichtbares Rootkit zu installieren. Auch das US-CERT warnt vor der Gefahr.

Fatale Variablen

Setzt ein Windows-Prozess die UEFI-Variable "CapsuleUpdateData", stößt die Firmware beim nächsten Booten den Update-Prozess an.
Bild: MITRE Corporation Die Schwachstellen klaffen im Update-Mechanismus, den man unter Windows indirekt mit Admin-Rechten anstoßen kann. Die UEFI-Firmware arbeitet mit eigenen Umgebungsvariablen, die das Betriebssystem teilweise auslesen und beschreiben darf. Existiert beim Systemstart die Variable CapsuleUpdateData, versucht die Firmware, ein Image an einem durch die Variable definierten Speicherbereich aufzuspüren und weiterzuverarbeiten. Dabei kommt es an zwei Stellen zu Integer Overflows, die ein Angreifer ausnutzen kann, um Schadcode zu diesem sehr frühen Zeitpunkt des Bootvorgangs auszuführen. Der Code muss nicht mal eine gültige Signatur besitzen.

Extreme Privilege Escalation

Extreme Privilege Escalation: Die erschlichenen Rechte gehen weit über Ring 0 (Kernel) hinaus.
Bild: MITRE Corporation
Die Mitre-Forscher bezeichnen den durch die Lücken möglichen Angriff als "BIOS Extreme Privilege Escalation". Sie entdeckten die Lücken bereits Ende vergangenen Jahres und versuchten daraufhin, die beteiligten Hersteller zum Handeln zu bewegen. Zunächst informierten sie Intel, woraufhin das Unternehmen seine Referenzimplementierung gepatcht hat. Seit Mai bietet Intel BIOS-Updates für seine eigene Hardware an. Betroffen sind hier Mini-PCs vom Typ NUC, zahlreiche Server-Mainboards sowie die Entwicklerplattform Galileo.

Update-Situation unklar

Ein kleiner Auszug aus der Liste der betroffenen HP-Modelle. Insgesamt sind es über 1500. HP stellt mittlerweile BIOS-Updates für mehr als 1500 Desktop-PCs, Kassensysteme, Thin Clients, Workstations und Mobilrechner bereit. Bei Lenovo sind weniger Systeme betroffen; einige Updates sollen in den folgenden Monaten nachgereicht werden. Dell nutzt ein UEFI-BIOS, welches die Fehler nicht enthält, empfiehlt bei manchen Rechnern aber trotzdem Updates. Auf Anfragen von heise online an die PC- und Mainboard-Hersteller Acer, Asus, Asrock, Fujitsu, Gigabyte, MSI, Supermicro und Tyan sind bisher noch keine Antworten eingegangen.

[Update 29.10.2014 12:00]: Der Hersteller Asrock hat inzwischen bekanntgegeben, dass die Firmware seiner Mainboards und Rechner nicht von der Sicherheitslücke betroffen sind. (ciw) / (rei)