LogoFAIL: Fast alle Windows- und Linux-PCs anfällig für Hacker-Angriffe auf Firmware – Intel-Macs sind sicher
Spectre und Meltdown: Diese Sicherheitslücken in diversen CPUs machten vor einiger Zeit von sich reden. In modernen Computern stecken aber außer Prozessoren weitere Komponenten, welche Schwachstellen aufweisen können. Eine davon ist die Firmware, in Windows- und Linux-Rechnern ist dies das UEFI, gemeinhin auch – allerdings seit vielen Jahren nicht mehr ganz korrekt – als BIOS bezeichnet. Jetzt wurde eine ganze Reihe von Angriffsvektoren entdeckt, welche zum Teil schon sehr lange im Unified Extensible Firmware Interface existieren. Sie ermöglichen Attacken schon während des Bootvorgangs und sind etwa mithilfe von Malware-Scannern nicht zu entdecken.
Sicherheitsforscher: Zwei Dutzend Schwachstellen im UEFISicherheitsforscher von Binarly machten im UEFI nahezu aller damit ausgestatteten Rechner insgesamt zwei Dutzend Schwachstellen aus. Die Ergebnisse ihrer Arbeit präsentierten sie jetzt einem Bericht von
Ars Technica zufolge auf der Black Hat Security Conference in London. Die Sicherheitslücken stecken im Image-Parser, der für die Anzeige von Bildern zu Beginn des Bootprozesses zuständig ist, üblicherweise also für die Präsentation des Hersteller-Logos. Folgerichtig werden sie als „LogoFAIL“ bezeichnet. Der Angriffsvektor gestaltet sich dabei wie folgt: Angreifer können dem System mit Schadcode versehene Bilddateien unterschieben, welche die Schwachstellen ausnutzen. Da die Attacken im Verlauf des Rechnerstarts vonstattengehen, stehen Hackern somit Tür und Tor zum System offen, bevor Windows oder Linux auch nur rudimentär geladen sind. Sie können also nach Belieben auf RAM und Massenspeicher zugreifen.
Firmware-Updates zum Teil verfügbar - Intel-Macs nicht betroffenAngreifer können Binarly zufolge die meisten Antivirenprogramme und Malwarescanner mit diesem Exploit umgehen. Die Sicherheitsforscher demonstrieren das anhand eines Videos. Darin ist zu sehen, wie ein mit Secure Boot und Intel Boot Guard ausgestatteter Lenovo-Rechner sich dank LogoFAIL mit Schadcode infizieren lässt. Einige UEFI-Hersteller haben bereits reagiert, die Lücken teilweise geschlossen oder zumindest Sicherheitshinweise bereitgestellt. Zu finden sind entsprechende Informationen unter anderem auf den Webseiten von
AMI,
Phoenix,
Lenovo und
Insyde. Nutzer von Windows- und/oder Linux-PCs sollten sich auf den Internetseiten der Gerätehersteller über Firmware-Updates informieren und diese – falls schon verfügbar – umgehend installieren. Intel-Macs weisen die Schwachstellen nicht auf, da Apple das Logo fest im EFI verankert hat und dafür keinen Image-Parser nutzt.