Ist BadBIOS möglich? Teil 2: USB-Manipulationen
In dieser Folge dreht sich weiter alles um die Frage, ob ein Super-Schädling wie es der von Dragos Ruiu beschriebene BadBIOS sein soll, möglich ist. Sprich, ob seine Funktionen so oder so ähnlich bereits irgendwo implementiert wurden. Diesmal geht es um die Angriffe auf und über USB-Geräte.
Sind Angriffe auf/über USB-Laufwerke möglich?
Im folgenden werde ich die (angeblichen?) Fähigkeiten von BadBIOS der Reihe nach auf ihre Machbarkeit untersuchen. Ich richte mich dabei wieder an die Reihenfolge der Fähigkeiten in meiner Beschreibung von BadBIOS.
Alle angeschlossenen USB-Laufwerke inklusive CD-Laufwerken werden beim Anschließen geflasht, die vorhandene Firmware durch eine mit dem Schadcode ersetzt.
Da der Schädling die vollständige Kontrolle über den Rechner hat, kann er tun und lassen, was er will. Also auch die angeschlossenen USB-Geräte flashen. Dafür braucht es nicht mal eines Angriffs, denn es gibt sogar einen offiziellen Standard für Hersteller- und Geräte-unabhängige Firmware-Upgrades für USB-Geräte, genannt USB Device Firmware Upgrade (DFU, Beschreibung als PDF). Daran halten sich natürlich nicht alle Hersteller, und es gibt auch nicht für jedes Gerät Firmware-Upgrades, aber prinzipiell ist die Installation einer neuen Firmware kein unüberwindbares Problem. Sofern das Gerät es zu lässt. Und die neu installierte Firmware kann dann natürlich auch den Schadcode enthalten.
Fazit: Das Überschreiben der Firmware von USB-Geräten ist möglich.
Was dabei ein Problem ist, ist wie schon im Fall des BIOS die Menge der benötigten Firmware-Versionen, denn die Firmware muss genau zum jeweiligen Gerät passen. Aber darauf komme ich später noch zurück.
Wird ein USB-Laufwerk unerwartet entfernt, wird es unbrauchbar. Wird das unbrauchbare Gerät wieder an einen infizierten Rechner angeschlossen, erweckt der es wieder zum Leben.
Der erste Teil ist einfach: Wenn die Schadsoftware die Firmware des USB-Geräts gerade manipuliert, wenn es entfernt wird, ist die Firmware danach sehr wahrscheinlich beschädigt. Und natürlich gilt: Ohne funktionsfähige Firmware kein funktionsfähiges Gerät.
Beim zweiten Teil wird es schwierig. Gehen wir mal davon aus, dass die Schadsoftware bei jedem Anschluss eines USB-Geräts blind ihre eigene Firmware auf das Gerät schreibt. Dann wäre es möglich, dass ein durch eine defekte Firmware unbrauchbares Gerät durch die neue Firmware wieder zum Leben erweckt wird. Aber das wird nicht immer funktionieren, denn dafür ist es nötig, dass das Firmware-Upgrade noch möglich ist. Es wird aber sicher auch Geräte geben, bei denen die Firmware so beschädigt ist, dass das Gerät überhaupt nicht starten kann. Und ich bezweifle, dass auf so einem Gerät eine neue Firmware installiert werden kann. Aber prinzipiell ist es möglich, dass die Geräte (zumindest ein Teil davon) so wieder zum Leben erweckt werden können.
Fazit: Sowohl die Zerstörung als auch die Wiederherstellung eines USB-Geräts sind möglich.
Wird ein infizierter USB-Stick in einen nicht infizierten Rechner gesteckt, wird der Rechner infiziert. Allem Anschein nach ohne Aktion des Betriebssystems.
Der erste Teil ist einfach, es gibt mehr als genug Beispiele für Schadsoftware, die sich über USB-Sticks verbreitet. Entweder klassisch über die AutoRun-Funktion von Windows oder über eine Schwachstelle, wie Stuxnet es vorgemacht hat. Auf der "Black Hat DC 2011" hat Jon Larimer Angriffe jenseits von AutoRun vorgeführt: "Beyond AutoRun: Exploiting software vulnerabilities with removable storage". Und dabei war nicht nur Windows Opfer seiner Versuche, sondern auch Linux.
Die Infektion eines Rechners über ein USB-Gerät ist also mehr oder weniger problemlos möglich. Schwierig wird es, wenn das unabhängig vom Betriebssystem erfolgen soll, wie es der zweite Teil fordert. Denn im Allgemeinen erfolgen Angriffe über USB-Geräte auf das Betriebssystem, wie sie zum Beispiel Andy Davis auf der "Black Hat USA 2011" ("USB: Undermining Security Barriers") sowie Angelos Stavrou und Zhaohui Wang auf der "Black Hat DC 2011" ("Exploiting Smart-Phone USB Connectivity For Fun And Profit") beschrieben haben.
Eine Möglichkeit für einen System-unabhängigen Angriff könnte das Maskieren des USB-Geräts als Human Interface Device (HID, im Allgemeinen in Form einer virtuellen Tastatur) sein. Zwar werden auch dabei bisher immer die Betriebssysteme angegriffen, wie es zum Beispiel Richard Rushing auf der "Black Hat USA 2010" beschrieben hat ("USB - HID, The Hacking Interface Design"), unter Umständen ist ein Angriff aber auch ohne Aktion durch das Betriebssystem möglich. Wenn das System nicht läuft, könnte die "Tastatur" über die BIOS-Konfiguration ein BIOS-Update installieren. Wenn das System läuft, sind evtl. Angriffe über Schwachstellen in der Firmware oder des BIOS möglich, sofern die sich vor dem Betriebssystem um HIDs kümmern.
Fazit: Das Infizieren eines Rechners durch Anschließen eines infizierten USB-Geräts ist möglich. Ohne Beteiligung des Betriebssystems wird es aber schwierig.
Die Frage ist hier eigentlich: Wieso sollte der Angriff nicht über das Betriebssystem laufen, wenn doch sowieso alle möglichen Systeme infiziert werden können? Vermutlich will man vermeiden, dass der Angriff von möglicherweise auf dem System laufenden Schutzprogrammen wie zum Beispiel Virenscannern und Intrusion Detection Systemen erkannt wird.
In der nächsten Folge geht es weiter um die Machbarkeit der BadBIOS zugeschriebenen Fähigkeiten, zum Beispiel der Infektion verschiedener Betriebssysteme.
Übersicht über alle Artikel zum Thema
- BadBIOS - Ein neuer Superschädling?
- Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS
- Ist BadBIOS möglich? Teil 2: USB-Manipulationen
- Ist BadBIOS möglich? Teil 3: Angriffe auf mehrere Systeme und mehr
- Ist BadBIOS möglich? Teil 4: Air-Gaps über Audiosignale überbrücken
- Ist BadBIOS möglich? Teil 5: Stolperstein BIOS
- Ist BadBIOS möglich? Teil 6: Stolperstein USB-Firmware und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : BadUSB - Ein Angriff, der dringend ernst genommen werden sollte
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : USB-Sicherheit - Ein Überblick
Vorschau anzeigen