{"id":187680,"date":"2017-02-20T11:27:00","date_gmt":"2017-02-20T10:27:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187680"},"modified":"2024-08-12T12:55:13","modified_gmt":"2024-08-12T10:55:13","slug":"uefibios-infektion-per-ransomware-proof-of-concept","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/20\/uefibios-infektion-per-ransomware-proof-of-concept\/","title":{"rendered":"UEFI\/BIOS-Infektion per Ransomware – Proof of concept"},"content":{"rendered":"

UEFI-Systeme k\u00f6nnen, trotz Windows 10, Device Guard und anderen Schutzmechanismen mit einem Verschl\u00fcsselungstrojaner infiziert werden. Das haben Sicherheitsforscher gerade mit einem Proof of concept an einem aktuellen Gigabyte-Mainboards (Intel Skylake) demonstriert.<\/p>\n

<\/p>\n

\"\"Ransomware w\u00e4chst sich ja zu einem Problem aus, legen Erpressungstrojaner durch Verschl\u00fcsselung von Benutzerdokumenten komplette Systeme und IT-Infrastrukturen lahm. Ziel der Urheber ist es, L\u00f6segeld von den Opfern zu erpressen. Schutz gegen Ransomware liefert ein aktuelles System mit entsprechender Schutzsoftware? Zumindest ist dies g\u00e4ngige Meinung.<\/p>\n

Und Microsoft wird ja nicht m\u00fcde zu erl\u00e4utern, wie viel man f\u00fcr die Sicherheit g\u00e4ngiger Systeme tut. Da wurde UEFI (Unified Extensible Firmware Interface) und Secure Boot verpflichtend f\u00fcr die Zertifizierung neuer Windows-Systeme vorgeschrieben. Windows 10 ist das sicherste Betriebssystem aller Zeiten und mit Schutzmechanismen wie Device Guard, Secure Boot und Virtual Secure Mode dichtet Windows 10 das System wirkungsvoll ab?<\/p>\n

Wenn die Malware im UEFI sitzt \u2026<\/h3>\n

Diese ganzen netten Sachen wie Device Guard, Secure Boot und Virtual Secure Mode kann man am Ende des Tages knicken, lassen sich die Schutzmechanismen doch umgehen. Ich erinnere an den Golem-Artikel Hacker ver\u00f6ffentlicht Anleitung f\u00fcr UEFI-Rootkits<\/a> aus 2015, wo Angriffe auf das UEFI eines Boards thematisiert werden.<\/p>\n

(Quelle: Cylance)<\/p>\n

Stuart McClure, Chef der Sicherheitsfirma Cylance<\/a>, hat nun auf der RSA Conference 2017<\/a> (12. \u2013 17. Februar 2017 in San Francisco) in der Session \"Hacking Exposed NextGen<\/a>\" gezeigt, wie er ein UEFI-BIOS-Mainboard mit Ransomeware infizieren kann. Das folgende Video stammt von dieser Konferenz.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

In einer Live-Demo ist es Stuart McClure gelungen, ein aktuelles Gigabyte-Mainboard mit Intel Skylake-CPU per UEFI-Hack mit einem Verschl\u00fcsselungstrojaner zu infizieren. Der Sch\u00e4dling hat somit \u00fcber die Hardware das System jederzeit unter Kontrolle und kann Dateien verschl\u00fcsseln \u2013 Ziel ist die Erpressung von L\u00f6segeld. Das Fiese an der Sache: Selbst eine Neuinstallation des Betriebssystems entfernt die Infektion mit Ransomware nicht. Der Sch\u00e4dling kann sofort seine Aufgabe beginnen, sobald Windows wieder aufgespielt wurde.<\/p>\n

F\u00fcr den Angriff wurden bekannte BIOS-\/UEFI-L\u00fccken genutzt, vor denen das US Cert bereits Anfang 2015 gewarnt hat. Die Redaktion von heise.de hat hier zum Beispiel<\/a> einen Beitrag zur US Cert-Warnung ver\u00f6ffentlicht. In der Live-Demo reichte Stuart McClure ein pr\u00e4pariertes Word-Dokument, um per Makro- und PowerShell-Code einen sogenannten Dropper herunterzuladen und auszuf\u00fchren. Vom Dropper wurde dann das Tool zum Ausf\u00fchren von BIOS-\/UEFI-Updates geladen. Die Installation des Tools muss aber vom Anwender best\u00e4tigt werden.<\/p>\n

Mit einem Exploit lie\u00df sich der Schreibschutz des UEFI umgehen, so dass Modifikationen am BIOS-\/UEFI-Code vorgenommen werden konnten. Problem ist wohl, dass bei solchen Modifikationen keinerlei Signaturen abgefragt werden. In der Demo wurde die Maschine nach einem Neustart mit dem obigen Sperrhinweis au\u00dfer Betrieb gesetzt, UEFI-Einstellungen lie\u00dfen sich nicht mehr abrufen. Auf diese Weise lasse sich beliebiger Schadcode in das UEFI einschleusen.<\/p>\n

Das Pikante an der Sache: Nicht nur die Board-Hersteller bzw. die Ersteller des UEFI haben da geschlampt. Auf dem System lief ein voll gepatchtes Windows 10 mit aktivierten Schutzmechanismen wie Device Guard, Secure Boot und Virtual Secure Mode. Laut Stuart McClure ist das Proof of concept nicht auf aktuelle Gigabyte-Mainboards begrenzt, sondern kann mit entsprechenden Anpassungen auf weitere Anbieter ausgedehnt werden. Bei Interesse lassen sich ein paar zus\u00e4tzliche Hinweise in diesem heise.de-Beitrag<\/a> nachlesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSecure Boot durch Windows 10 Anniversary Update-Backdoor ausgehebelt<\/a>
\nWindows 10 Anniversary Update macht Webcam unbrauchbar<\/a>
\nMicrosoft modifiziert November-Security Update for Boot Manager (3193479) wegen Lenovo UEFI-Bug<\/a>
\nWarnung: Windows Server h\u00e4ngen nach UEFI-Secure-Boot November 2016-Update<\/a>
\nFehlerhafter Windows-Update UEFI-Patch killt Minix-PC<\/a>
\nLinux und das vergurkte UEFI-Konzept<\/a>
\nUEFI-Desaster: Extreme Privilege Escalation-L\u00fccke gefunden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

UEFI-Systeme k\u00f6nnen, trotz Windows 10, Device Guard und anderen Schutzmechanismen mit einem Verschl\u00fcsselungstrojaner infiziert werden. Das haben Sicherheitsforscher gerade mit einem Proof of concept an einem aktuellen Gigabyte-Mainboards (Intel Skylake) demonstriert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,3694],"tags":[4715,4328,1108,4378],"class_list":["post-187680","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows-10","tag-ransomware","tag-sicherheit","tag-uefi","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187680"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187680\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}