Drucksache: Windows Developer 5.18 - Angriffsziel Firmware
Im Windows Developer 5.18 ist ein Artikel über Angriffe auf und Schwachstellen in der Firmware erschienen.
Update 17.7.2018:
Der Artikel ist jetzt auch online
auf entwickler.de
zu lesen.
Ende des Updates
Die Firmware (egal ob das klassische BIOS oder seine Nachfolger (U)EFI) stellt die Verbindung zwischen Hardware und Betriebssystem dar. Was bedeutet, dass derjenige, der die Firmware kontrolliert, auch das Betriebssystem kontrollieren kann. Was sie für Angreifer interessant macht, denn wenn sie die Firmware unter ihre Kontrolle bringen sind alle danach geladenen Schutzmaßnahmen wirkungslos.
In den vergangenen Jahren wurden etliche Schwachstellen in Firmwares oder z.B. Intels Management Engine gefunden. Dazu kommen die aktuellen CPU-Schwachstellen Spectre und Meltdown, die ebenfalls über Firmware-Updates korrigiert werden müssen. Die erst mal ihren Weg von Intel über die Firmware- und Hardware-Hersteller zu den Benutzern finden müssen. Was nicht unbedingt funktionieren muss, wie man am Beispiel von Android sieht. Da erreichen viele von Google veröffentlichten Updates die Geräte gar nicht, weil die vom jeweiligen Hersteller oder Mobilfunkbetreiber nicht mehr unterstützt werden. Und selbst wenn die Updates für ein Gerät bereit stehen ist noch lange nicht gesagt, dass der Benutzer das Update auch installiert.
Wir können also wohl davon ausgehen, dass auch viele Rechner keine Firmware-Updates erhalten werden. Entweder, weil es sie nicht gibt, oder weil die Benutzer sie nicht installieren.
Wie oft haben Sie denn schon die Firmware ihres Rechners aktualisiert? Mir ist dabei immer sehr unwohl zu Mute. Wer weiß schon, ob diese Operation am digitalen Herzen (oder Hirn) des Rechners wirklich erfolgreich verläuft oder einen Haufen Elektroschrott zurücklässt?
Aber selbst wenn es Updates gibt, und die Benutzer die regelmäßig installieren (was zumindest bei Windows ja anscheinen nur mit Zwang funktioniert): Wie Sie im Artikel lesen können sind die Firmware-Update-Prozesse oft unsicher. Wie lange es wohl dauert, bis die Cyberkriminellen gefälschte Updates verbreiten? Demnächst gibt dann wohl keine gefälschte Aufforderung zur Installation eines neuen Flash-Players mehr, sondern zum Updaten der Firmware.
Da kommen interessante Zeiten auf uns zu. Wer hat uns denn da mit "Möget ihr in interessanten Zeiten leben!" verflucht?
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Alex Matrosov, Eugene Rodionov; Black Hat Asia 2017: "The UEFI Firmware Rootkits: Myths and Reality" (Video auf YouTube)
- [2] Carsten Eilers: "BadBIOS - Ein neuer Superschädling?"
- [3] Carsten Eilers: "Ist BadBIOS möglich? Teil 1: Die Infektion des BIOS" und weitere, darunter verlinkte Texte
- [4] Carsten Eilers: "Windows 10: gefährlich oder gefährdet?"; Windows Developer 2.16
- [5] CERT: Vulnerability Note VU#976132, "UEFI implementations do not properly secure the EFI S3 Resume Boot Path boot script"
- [6] GitHub: Cr4sh/ThinkPwn, "Lenovo ThinkPad System Management Mode arbitrary code execution 0day exploit"
- [7] Lenovo Security Advisory: LEN-8324, "System Management Mode (SMM) BIOS Vulnerability"
- [8] GitHub: Cr4sh/Aptiocalypsis, "Arbitrary SMM code execution exploit for AMI Aptio based firmware"
- [9] Intel: INTEL-SA-00057: "Intel Branded NUC’s Vulnerable to SMM Exploit"
- [10] Intel Advanced Threat Research: "HackingTeam's UEFI Rootkit Details" auf archive.org
- [11] Trend Micro: "Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems"
- [12] Schneier on Security: "DEITYBOUNCE: NSA Exploit of the Day"
- [13] InfoSec Institute: "NSA BIOS Backdoor a.k.a. God Mode Malware Part 1: DEITYBOUNCE"
- [14] Kaspersky Lab: "Equation Group: Questions and Answers" (PDF)
- [15] Schneier on Security: "JETPLOW: NSA Exploit of the Day"
- [16] WikiLeaks: Vault 7 Projects - Dark Matter: DerStarke v1.4
- [17] Wikipedia: "LoJack for Laptops"
- [18] Intel: "Developing Best-In-Class Security Principles with Open Source Firmware" (PDF)
- [19] Intel: "Intel Hardware-based Security Technologies for Intelligent Retail Devices" (PDF)
- [20] Microsoft: "Windows ACPI system description tables - Windows SMM Security Mitigations Table (WSMT)"
- [21] Rodrigo Branco, Vincent Zimmer, Bruce Monroe; Black Hat USA 2017: "Firmware is the New Black - Analyzing Past Three Years of BIOS/UEFI Security Vulnerabilities" (Video auf YouTube, Aktuelle Version der Präsentation)
- [22] Alex Matrosov; Black Hat USA 2017: "Betraying the BIOS: Where the Guardians of the BIOS are Failing" (Video auf YouTube, Material auf GitHub)
- [23] BSI Kurzinfo CB-K15/1256: "Intel Active Management Technology (AMT): Eine Schwachstelle ermöglicht die Übernahme des Systems"
- [24] Intel: INTEL-SA-00075: "Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege"
- [25] CVE-2017-5689
- [26] Embedi: "MythBusters: CVE-2017-5689"
- [27] Embedi: "What You Need To Know About The Intel AMT Vulnerability"
- [28] Microsoft Secure: "PLATINUM continues to evolve, find ways to maintain invisibility"
- [29] Dmitriy Evdokimov, Alexander Ermolov, Maksim Malyutin; Black Hat USA 2017: "Intel AMT Stealth Breakthrough" (Video auf YouTube)
- [30] Embedi: "Intel AMT some new stealth-vector attacks and good old vulnerabilities"
- [31] Alexander Ermolov, Dmitriy Evdokimov, Maksim Malyutin; Hack in the Box GSEC Singapore 2017: "MythBusters: CVE-2017-5689 – How We Broke Intel AMT"
- [32] Positive Technologies: "Disabling Intel ME 11 via undocumented mode"
- [33] CVE-2017-5705, CVE-2017-5706, CVE-2017-5707
- [34] Intel: INTEL-SA-00086: "Intel Q3’17 ME 6.x/7.x/8.x/9.x/10.x/11.x, SPS 4.0, and TXE 3.0 Security Review Cumulative Update"
- [35] Positive Technologies: "Intel fixes vulnerability found by Positive Technologies researchers in Management Engine"
- [36] Maxim Goryachy, Mark Ermolov; Black Hat Europe 2017: "How to Hack a Turned-Off Computer or Running Unsigned Code in Intel Management Engine"
- [37] Positive Technologies: "Recovering Huffman tables in Intel ME 11.x"
- [38] Positive Technologies: "How to Hack a Turned-off Computer, or Running Unsigned Code in Intel ME"
- [39] Positive Technologies: "Apple fixes security hole in Intel ME discovered by Positive Technologies"
Trackbacks