UEFI/BIOS-Infektion per Ransomware – Proof of concept

UEFI-Systeme können, trotz Windows 10, Device Guard und anderen Schutzmechanismen mit einem Verschlüsselungstrojaner infiziert werden. Das haben Sicherheitsforscher gerade mit einem Proof of concept an einem aktuellen Gigabyte-Mainboards (Intel Skylake) demonstriert.

Ransomware wächst sich ja zu einem Problem aus, legen Erpressungstrojaner durch Verschlüsselung von Benutzerdokumenten komplette Systeme und IT-Infrastrukturen lahm. Ziel der Urheber ist es, Lösegeld von den Opfern zu erpressen. Schutz gegen Ransomware liefert ein aktuelles System mit entsprechender Schutzsoftware? Zumindest ist dies gängige Meinung.

Und Microsoft wird ja nicht müde zu erläutern, wie viel man für die Sicherheit gängiger Systeme tut. Da wurde UEFI (Unified Extensible Firmware Interface) und Secure Boot verpflichtend für die Zertifizierung neuer Windows-Systeme vorgeschrieben. Windows 10 ist das sicherste Betriebssystem aller Zeiten und mit Schutzmechanismen wie Device Guard, Secure Boot und Virtual Secure Mode dichtet Windows 10 das System wirkungsvoll ab?

Wenn die Malware im UEFI sitzt …

Diese ganzen netten Sachen wie Device Guard, Secure Boot und Virtual Secure Mode kann man am Ende des Tages knicken, lassen sich die Schutzmechanismen doch umgehen. Ich erinnere an den Golem-Artikel Hacker veröffentlicht Anleitung für UEFI-Rootkits aus 2015, wo Angriffe auf das UEFI eines Boards thematisiert werden.

(Quelle: Cylance)

Stuart McClure, Chef der Sicherheitsfirma Cylance, hat nun auf der RSA Conference 2017 (12. – 17. Februar 2017 in San Francisco) in der Session “Hacking Exposed NextGen” gezeigt, wie er ein UEFI-BIOS-Mainboard mit Ransomeware infizieren kann. Das folgende Video stammt von dieser Konferenz.

(Quelle: YouTube)

In einer Live-Demo ist es Stuart McClure gelungen, ein aktuelles Gigabyte-Mainboard mit Intel Skylake-CPU per UEFI-Hack mit einem Verschlüsselungstrojaner zu infizieren. Der Schädling hat somit über die Hardware das System jederzeit unter Kontrolle und kann Dateien verschlüsseln – Ziel ist die Erpressung von Lösegeld. Das Fiese an der Sache: Selbst eine Neuinstallation des Betriebssystems entfernt die Infektion mit Ransomware nicht. Der Schädling kann sofort seine Aufgabe beginnen, sobald Windows wieder aufgespielt wurde.

Für den Angriff wurden bekannte BIOS-/UEFI-Lücken genutzt, vor denen das US Cert bereits Anfang 2015 gewarnt hat. Die Redaktion von heise.de hat hier zum Beispiel einen Beitrag zur US Cert-Warnung veröffentlicht. In der Live-Demo reichte Stuart McClure ein präpariertes Word-Dokument, um per Makro- und PowerShell-Code einen sogenannten Dropper herunterzuladen und auszuführen. Vom Dropper wurde dann das Tool zum Ausführen von BIOS-/UEFI-Updates geladen. Die Installation des Tools muss aber vom Anwender bestätigt werden.

Mit einem Exploit ließ sich der Schreibschutz des UEFI umgehen, so dass Modifikationen am BIOS-/UEFI-Code vorgenommen werden konnten. Problem ist wohl, dass bei solchen Modifikationen keinerlei Signaturen abgefragt werden. In der Demo wurde die Maschine nach einem Neustart mit dem obigen Sperrhinweis außer Betrieb gesetzt, UEFI-Einstellungen ließen sich nicht mehr abrufen. Auf diese Weise lasse sich beliebiger Schadcode in das UEFI einschleusen.

Das Pikante an der Sache: Nicht nur die Board-Hersteller bzw. die Ersteller des UEFI haben da geschlampt. Auf dem System lief ein voll gepatchtes Windows 10 mit aktivierten Schutzmechanismen wie Device Guard, Secure Boot und Virtual Secure Mode. Laut Stuart McClure ist das Proof of concept nicht auf aktuelle Gigabyte-Mainboards begrenzt, sondern kann mit entsprechenden Anpassungen auf weitere Anbieter ausgedehnt werden. Bei Interesse lassen sich ein paar zusätzliche Hinweise in diesem heise.de-Beitrag nachlesen.

Ähnliche Artikel:
Secure Boot durch Windows 10 Anniversary Update-Backdoor ausgehebelt
Windows 10 Anniversary Update macht Webcam unbrauchbar
Microsoft modifiziert November-Security Update for Boot Manager (3193479) wegen Lenovo UEFI-Bug
Warnung: Windows Server hängen nach UEFI-Secure-Boot November 2016-Update
Fehlerhafter Windows-Update UEFI-Patch killt Minix-PC
Linux und das vergurkte UEFI-Konzept
UEFI-Desaster: Extreme Privilege Escalation-Lücke gefunden

Dieser Beitrag wurde unter Geräte, Sicherheit, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu UEFI/BIOS-Infektion per Ransomware – Proof of concept

  1. Blupp sagt:

    Ist schon lange her, dass ein BIOS noch sicher war und man erst einen Jumper setzen musste damit das beschreibbar wurde. Irgendwann wurde das dann abgeschafft, das sollte u.A. der Sicherheit dienen war damals zu lesen. An meinen Lachkrampf zu dieser Posse kann ich mich jedenfalls noch gut erinnern. Am stärksten, meiner Erinnerung nach, hat damals Microsoft nach der ‚Modernisierung‘ des BIOS gerufen. Ich mag mich ja irren, ist halt sehr lange her. Persönlich glaube ich die wollten einfach ihre Marktmacht zementieren und Abhängigkeiten schaffen, die pfuschen eben überall drin herum.

  2. Gaga sagt:

    Vergangenen Sommer lief im Deutschlandfunk eine Diskussion zum Thema UEFI.
    Hier der Link zum Nachlesen: http://www.deutschlandfunk.de/die-letzten-tage-von-bios.684.de.html?dram:article_id=218294

  3. Tja wenn Secure Boot durch das Anniversary Update ausgehebelt wurde ist es auch angreifbar, http://www.borncity.com/blog/2016/08/11/secure-boot-durch-windows-10-anniversary-update-backdoor-ausgehebelt/
    Ist denn Secure Boot und TPM 2.0 wieder durch Microsoft sicher gepatcht worden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert