Nachricht

Aug 17, 2023

CISA: Vorsicht vor dem bösartigen Bootloader

AKTUALISIERT 11:55 EDT / 07. AUGUST 2023 von David Strom Die US-amerikanische Cybersecurity and Infrastructure Security Agency hat einen Aufruf zum Handeln herausgegeben, um die Sicherheit eines wenig bekannten, aber wichtigen Teils von zu erhöhen

AKTUALISIERT 11:55 EDT / 07. AUGUST 2023

von David Strom

Die US-amerikanische Cybersecurity and Infrastructure Security Agency hat einen Aufruf zum Handeln herausgegeben, um die Sicherheit einer wenig bekannten, aber wichtigen Software zu erhöhen, die in jedem Computer zu finden ist.

Es wird als Unified Extensible Firmware Interface oder UEFI bezeichnet und wird beim Booten ausgeführt. Es steuert den Betrieb des Computers, lädt Gerätetreiber und Energieverwaltungsschnittstellensteuerungen sowie andere Anwendungsschnittstellen. CISA sagte am 3. August, es sei besorgt, dass sich viele Angreifer auf die UEFI konzentriert hätten, um ein System zu kompromittieren und Malware einzuschleusen, um dessen Betrieb zu kontrollieren und einer Entdeckung zu entgehen.

Ein Beispiel hierfür sind die BlackLotus-Exploits, die zuletzt im April von Microsoft Security und im Mai von der US-amerikanischen National Security Agency dokumentiert wurden. Das Dokument enthielt Möglichkeiten zur Identifizierung von Hinweisen darauf, dass eine UEFI-basierte Malware vorhanden ist, wie z. B. ein aktuelles Bootloader-Dateidatum oder einen Protokolleintrag, geänderte Windows-Registrierungsschlüssel (siehe Abbildung unten) oder ein bestimmtes Netzwerkverhalten.

Diese UEFI-basierten Angriffe sind heimtückischer, da sie alle möglichen Sicherheitsmechanismen des Betriebssystems aktivieren oder deaktivieren können, bevor sie tatsächlich vom Betriebssystem geladen werden. Nicht gerade hilfreich ist, dass UEFI mittlerweile auf Hunderten Millionen Computern zu finden ist.

Die Warnung der CISA war etwas pessimistisch und besagte, dass Cybersicherheitsforscher und -entwickler „noch im Lernmodus“ seien, wie sie auf UEFI-Angriffe reagieren und diese spezielle Software besser schützen könnten. „UEFI ist der vorherrschende Softwarestandard zur Verwaltung der physischen Computermaschinerie, von der alles andere abhängt“, heißt es in seinem Blogbeitrag. Und sein Kompromiss ist weiterhin ein Problem.

UEFI-Malware stellt ebenfalls ein Problem dar, da sie nach einem Systemneustart, einer Neuinstallation des Betriebssystems oder sogar dem Austausch einer bestimmten physischen Komponente im Computer bestehen bleiben kann. BlackLotus platziert beispielsweise einen älteren Windows-Bootloader, deaktiviert die Speicherintegritätsfunktion, deaktiviert BitLocker und setzt einen aktuellen Sicherheitspatch auf eine anfälligere Version zurück.

Das ist eine Menge schädlicher Dinge, die es zu beheben gilt. Dies ist einer der Gründe, warum CISA empfiehlt, jeden infizierten PC zu zerstören und nicht zu reparieren. Dies ist auch einer der Gründe, warum UEFI-Angriffe begehrte Ziele sind: Ein Angreifer kann sowohl getarnt sein als auch über längere Zeiträume agieren, ohne sich um einen Systemneustart oder einen Systempatch kümmern zu müssen.

Im Laufe der Jahre haben UEFI-Entwickler Abwehrmaßnahmen entwickelt, um Malware-Infektionen zu verhindern, und der Blogbeitrag von CISA erwähnt zwei: die Verwendung von Security-by-Design-Prinzipien und den Einsatz ausgereifterer Maßnahmen zur Reaktion auf Vorfälle. Diese werden jedoch nicht allgemein umgesetzt.

Der UEFI-Entwickler AMI schlug letzten Herbst eine Möglichkeit vor, diesen oben erwähnten Patch-Rollback zu verhindern, der jedoch nur lückenhaft umgesetzt wurde. Es gibt auch Referenz-Chip-Architekturen, die strenge Speicherverwaltungsschemata beinhalten, aber Forscher behaupten, dass diese Schemata noch erforscht und verifiziert werden müssen. Es gibt andere Bemühungen, sichere Hardware-Enklaven einzurichten, aber keine dieser Bemühungen weitet die Sicherheit nennenswert auf die UEFI-Prozesse aus.

Ein Teil des Problems besteht darin, dass die UEFI-Lieferkette ein komplexes Netz aus Entwicklern und Abhängigkeiten ist. Der typische PC kann über mehr als 50 verschiedene UEFI-Module und Hunderte von Gerätetreibern verfügen, die von Dutzenden von Softwareanbietern stammen, die über eine eigene Sammlung verschiedener Entwickler verfügen.

All diese Komplexität macht es schwierig, die aktuellen Versionen der Software aufzuspüren und festzustellen, ob etwas von böswilligen Akteuren kompromittiert wurde. Erschwerend kommt hinzu, dass von Teilen des UEFI „auch erwartet wird, dass sie nicht vertrauenswürdige Eingaben vom Benutzer oder Netzwerk akzeptieren“.

Die Richtlinien von Microsoft und NSA enthalten Empfehlungen, wie Unternehmen sich besser schützen können, einschließlich der Aktualisierung aller Windows-Wiederherstellungsmedien und der Aktualisierung verschiedener Betriebssystem-Patches. Und Vijay Sarvepalli vom Software Engineering Institute der Carnegie Mellon University hat einen Artikel verfasst, der das UEFI-Problem im Detail beschreibt und eine lange Liste von Entwickler- und Sicherheitsprozessverbesserungen enthält.

DANKE

CISA: Vorsicht vor dem bösartigen Bootloader

Auf dem CUBE Pod: Amazons neue KI, der Aufstieg der Supercloud und Gedanken zur Work-Life-Balance

KI als nächste Computerplattform

Das FBI untersucht einen Ransomware-Angriff auf einen in Kalifornien ansässigen Gesundheitsdienstleister

Bundesrichter schränkt den Umfang der vom DOJ und den Bundesstaaten angestrengten Google-Kartellklage ein

Tech-Aktien über die Magnificent Seven hinaus sprengen

CISA: Vorsicht vor dem bösartigen Bootloader

SICHERHEIT – VON DAVID STROM. VOR 1 MIN

Auf dem CUBE Pod: Amazons neue KI, der Aufstieg der Supercloud und Gedanken zur Work-Life-Balance

CLOUD – VON RYAN STEVENS. VOR 1 STUNDE

KI als nächste Computerplattform

AI – VOM GASTAUTOR. VOR 2 STUNDEN

Das FBI untersucht einen Ransomware-Angriff auf einen in Kalifornien ansässigen Gesundheitsdienstleister

SICHERHEIT – VON DUNCAN RILEY. VOR 16 STUNDEN

Bundesrichter schränkt den Umfang der vom DOJ und den Bundesstaaten angestrengten Google-Kartellklage ein

POLITIK – VON MIKE WEATLEY. VOR 16 STUNDEN

Tech-Aktien über die Magnificent Seven hinaus sprengen

CLOUD – VON DAVE VELLANTE. VOR 2 TAGEN