News UEFI Hintertüren werden konkret
- Ersteller Einbecker
- Erstellt am
User-News
Von Einbecker
Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.Laut Heise haben beide Sicherheitsforscher, welche die Lücke
im Oktober letzten Jahres gemeldet haben, nun ein komplettes Rootkit geschrieben mit welchem sie selbst ein auf Linux basierendes Live System, welches im RAM Speicher läuft, ausspähen. Damit überführen beide UEFI ad absurdum, alle Bewegungen geschehen dadurch für das Betriebsystem unsichtbar. Biosupdates existieren bis Dato keine, auch wenn einige Hersteller entsprechende Patches angekündigt haben.
http://www.heise.de/newsticker/meld...cken-abseits-des-Betriebssystems-2582782.html
im Oktober letzten Jahres gemeldet haben, nun ein komplettes Rootkit geschrieben mit welchem sie selbst ein auf Linux basierendes Live System, welches im RAM Speicher läuft, ausspähen. Damit überführen beide UEFI ad absurdum, alle Bewegungen geschehen dadurch für das Betriebsystem unsichtbar. Biosupdates existieren bis Dato keine, auch wenn einige Hersteller entsprechende Patches angekündigt haben.http://www.heise.de/newsticker/meld...cken-abseits-des-Betriebssystems-2582782.html
Complicated
Grand Admiral Special
Der Expoilt setzt voraus, dass man das schadhafte BIOS vor Ort flasht. Mit einem erneuten flashen des Original-BIOS ist auch der Expoilt entfernt. BIOS flashen kann man einfach Passwort schützen und sollte es auch in zugänglichen Umgebungen.
hoschi_tux
Grand Admiral Special
Funktioniert das denn auch unter Windows? Meines Wissens nutzt da ein BIOS Passwort nichts.
Complicated
Grand Admiral Special
Das BIOS Passwort hat nichts mit dem OS zu tun und hängt auch nicht davon ab. Es wird ja im BIOS selber gesetzt bevor der Bootvorgang startet.
Man kann da die HD austauschen und nichts ändert sich am Zugriff.
Man kann da die HD austauschen und nichts ändert sich am Zugriff.
hoschi_tux
Grand Admiral Special
Es geht ja darum, dass das größte Einfallstor noch immer das Betriebssystem ist. Und von da aus kann man ja meist ohne große Umschweife das BIOS flashen.
Complicated
Grand Admiral Special
Diesen Expoilt muss man an der Maschine direkt flashen. Ist das BIOS Passwort gesetzt, kann man auch aus dem Windows heraus das BIOS nicht ohne selbiges flashen. Die derzeitige Sicherheitslage beim BIOS ist hier zusammengefasst:
https://www.wimsbios.com/faq/biospasswordprotection.jsp
Also setzt man ein eigenes BIOS-Passwort, kann man nur noch die CMOS-Batterie entfernen (oder Jumper setzen) um das Passwort zu löschen - dafür gibt es Kensington-Locks und ansonsten eben die üblichen Sicherungen gegen Einbruch etc. Dieser Exploit ist nicht anders als andere bei der Verbreitung. Was natürlich das ganze erschwert ist das nicht aufspüren können nach Infekt. Doch einmal wöchentlich das Original-BIOS drauf flashen oder nach jedem Zugriff durch Fremde, müsste auch den größten Paranoiker sichern
Hier gibt es lediglich ein Problem für die Antiviren-Hersteller. Denn mit ihren Tools hat man keine Möglichkeit danach zu scannen. Andererseits weiss man wie das Original BIOS auszusehen hat und könnte das CMOS bit für bit abgleichen regelmäßig.
https://www.wimsbios.com/faq/biospasswordprotection.jsp
Also setzt man ein eigenes BIOS-Passwort, kann man nur noch die CMOS-Batterie entfernen (oder Jumper setzen) um das Passwort zu löschen - dafür gibt es Kensington-Locks und ansonsten eben die üblichen Sicherungen gegen Einbruch etc. Dieser Exploit ist nicht anders als andere bei der Verbreitung. Was natürlich das ganze erschwert ist das nicht aufspüren können nach Infekt. Doch einmal wöchentlich das Original-BIOS drauf flashen oder nach jedem Zugriff durch Fremde, müsste auch den größten Paranoiker sichern
Hier gibt es lediglich ein Problem für die Antiviren-Hersteller. Denn mit ihren Tools hat man keine Möglichkeit danach zu scannen. Andererseits weiss man wie das Original BIOS auszusehen hat und könnte das CMOS bit für bit abgleichen regelmäßig.
Zuletzt bearbeitet:
Auf ein Password als Sperre für Änderungen am BIOS/UEFI würde ich mich nicht verlassen, obwohl es natürlich die Serverwartung mittels Remote KVM erleichtern würde. Bei einem Desktop PC wäre in meinen Augen ein simpler Jumper die bessere Wahl. Jedenfalls, wenn seine Funktionsweise darin besteht einen Schreibzugriff auf den EEPROM physikalisch zu unterbinden und er nicht durch Software zu umgehen ist, weil er nur ein Register verändert. In diesem Zusammenhang fände ich es wichtig, dass das EEPROM gesockelt ist. So kann es im Verdachtsfall einfach auswechseln. So bleibe keine Restzweifel, obwohl natürlich mittlerweile auch die Firmware der SSD/HDD befallen sein könnte. Dies würde jedoch einen hochspezialisierten Schädling erfordern.
Complicated
Grand Admiral Special
Oder auch so natürlich. Also ich sehe hier jetzt keine "We are doomed" Szenarien 
Das betagte BIOS brachte zuviele Einschränkungen mit sich. Eine Ablösung ist und war von Nöten.Bunt anstatt blau/weiß!!! Was denn sonst![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Der Haken beim UEFI ist, dass es je nach Ausbaustufe zu komplex und damit schwer zu kontrollieren wird.
Der Haken hierbei ist erstmal dass der Schädling mittels SMI sogar das OS umgehen kann. Theoretisch müsste er selbst sogar das erneute Flashen unterbinden können bzw. Simulieren damit keiner was merkt. Jedenfalls ist das eine völlig neue Qualität von Schädling, wenn man sich das Teil mal eben über Windows einfangen kann und es dann weder von virenscanner noch von live-cd, Neuinstallation oder festplattentausch loswerden kann. Dazu noch die Möglichkeit jedweden Speicher auszulesen und damit auch verschlüsselung zu umgehen... Fehlt nur noch eine Remote Shell und wir haben die ultimative PC Fernsteuerung. Bei dem Gedanken geht bestimmt 2/3 aller Überwachungsfetischisten einer ab...
MagicEye04
Grand Admiral Special
Komisch, mein K6-233 lief bereits auf einem (PCCHIPS?) Mainboard mit buntem, grafischen Bios, was sogar Mausbedienung kannte.Bunt anstatt blau/weiß!!! Was denn sonst
Da hat sich also bestenfalls die Auflösung verbessert und vielleicht auch die Farbdichte.
Ein BIOS kann nur 1024kB RAM adressieren und zwingt die CPU im 16-Bit Modus zu verharren. Dadurch sind ein integrierter Memtest und viele andere nützliche Helferlein, wie man sich bei manchen UEFI findet, nur eingeschränkt möglich. Außerdem kann ein BIOS nur von einer HDD mit MBR booten. Ein UEFI kann statt dessen mit GPT die mit einem MBR einhergehende 2TB Begrenzung umgehen. Ferner kann man Treiber in ein UEFI einbetten, sodass zum Beispiel ein Netzwerkchip intialisiert werden kann, bevor das OS geladen ist. Dies ist für Office PCs mit vPRO/AMT von Interesse. So kann man den Bootloader und vieles mehr auf Wunsch aus der Ferne konfigurieren. Bei den ACPI Tabellen entfallen einige bei einem BIOS erforderlichen fehleranfällige Klimmzüge und so weiter. Es gibt somit mehr als genug gute Gründe, die für die Ablösung des BIOS sprechen. Ich habe nicht einmal alle genannt, sondern nur einige heraus gepickt. Viele Nutzern denken bei UEFIs an Secure Boot und völlig überladene GUIs. Beides ist mit UEFI möglich, aber nicht zwingend vorgeschrieben. Man könnte schlanke und unangreifbare UEFI bauen. Dass dies nicht gemacht wird, kann man nicht dem Standard anlasten. Sein Baukastenprinzip würde es ohne weiteres zulassen. Manche der vermeidbaren Fehler, die UEFI in den Verruf gebracht haben, sind insbesondere den Vorgaben von Microsoft anzulasten.
PS: Bei dem als Beispiel genannten Netzwerktreiber verhält es sich so, dass der Mainboardhersteller ihn integrieren kann. Er muss es nicht tun, sondern hat die Wahl; natürlich ist er darauf bedacht etwaige Kundenwünsche zu erfüllen. Das gilt für viele weitere Punkte, wie zum Beispiel den Zugang zur UEFI Shell. In der Überganszeit (ab 2007) gab es viele UEFI basierende Firmwares mit permanent aktviertem CSM, die sich exakt wie ein BIOS verhalten haben und für den Anwender nicht als UEFI erkenntlich waren. Selbst die Oberflächen wurden denen von Award/American Megatrends nachempfunden. Vielen überzeugten Gegner von UEFI könnte längst eines untergeschoben worden sein, ohne dass sie eine Ahnung davon haben oder mit einem derart zusammen gestutzen UEFI eine Gefahr verbunden wäre. Das zeigt jedoch deutlich, dass es in erster Linie auf die Anzahl (und Güte) der geladenen Module ankommt. Umso mehr Module ein Mainboardhersteller einbaut, umso mächtiger wird und damit "gefährlicher" wird ein UEFI. Darüber hinaus sollte man nicht die Möglichkeit außer Acht lassen, dass man sogar mit den eingeschränkten Möglichkeiten eines BIOS viel Schabernack treiben kann. Dass BIOSe in der Vergangheit nicht viel öfter Opfer von Angriffen wurden, liegt vor allem an dem verworrenen Code mit all den Altlasten. "security through obscurity" in anderen Worten.
Denniss
Grand Admiral Special
Das gute alte AMI Winbios. Wurde damals wohl aus Platzmangel im Biosbaustein eingestellt.Komisch, mein K6-233 lief bereits auf einem (PCCHIPS?) Mainboard mit buntem, grafischen Bios, was sogar Mausbedienung kannte.
Da hat sich also bestenfalls die Auflösung verbessert und vielleicht auch die Farbdichte.
