BIOS/UEFI mit Ransomware infiziert

[Toby-ch]

Hallo zusammen

Ich bin auf diesen Artikel von der Heise Security gestossen:

Sicherheitsforscher haben gezeigt, dass sich das BIOS/UEFI eines Computers trotz aktuellem Windows 10 und diversen aktivierten Sicherheitsmechanismen mit einem Erpressungstrojaner infizieren lässt.

Die diesjährige Ausgabe der seit Jahren während der RSA Conference dargebrachten Präsentation "Hacking Exposed" füllten Cylance-Boss Stuart McClure und seine Mitstreiter unter anderem mit zwei Hacks der außergewöhnlicheren Art: In einer der Live-Demos infizierten sie das Unified Extensible Firmware Interface (UEFI) eines aktuellen Gigabyte-Mainboards (Intel Skylake) mit einem Verschlüsselungstrojaner. Laut McClure sind auch Mainboards anderer Hersteller angreifbar, man müsse lediglich die Payload an die UEFI-Variante anpassen.

Zwar sind BIOS- beziehungsweise UEFI-Schädlinge an sich nichts Neues: Lösegeld-Malware wurde in diesem Bereich bisher aber weder gesichtet, noch demonstriert.

BIOS-UEFI-Lücken
Der zur Demo verwendete Computer lief den Sicherheitsforschern zufolge mit einem vollständig gepatchten Windows 10 – die Schutzmechanismen Device Guard, Secure Boot und Virtual Secure Mode sollen ebenfalls aktiv gewesen sein. Wie Angreifer diese Sicherheitsmechanismen umgehen können, beschrieben andere Sicherheitsforscher bereits Anfang 2015. Die Ansätze fußen auf BIOS-UEFI-Lücken.

Die Infektion in der Live-Demo begann mit einem präparierten Word-Dokument, das per Makros und Powershell einen Dropper herunterlud. Dieser wiederum zog den BIOS-Updater des Mainboard-Herstellers aus dem Netz und installierte ihn. An dieser Stelle wäre es in der Realität aber knifflig geworden, da ein potentielles Opfer die Installation bestätigen muss.

Digitale Signatur? Fehlanzeige
Mit nicht näher genannten Exploits umgingen die Sicherheitsforscher den Schreibschutz des Flash-Speichers und konnten so ihre um die Ransomware erweiterte Variante der Firmware auf das Mainboard flashen. An dieser Stelle machte es ihnen der Mainboard-Hersteller unnötig leicht: Die Flasher-Software überprüft das Update nicht auf Integrität, keine der Komponenten ist McClure zufolge digital signiert.

Nach einem Neustart des Computers erschien umgehend der Sperrhinweis. Ein Aufruf der UEFI-Einstellungen wird ebenso unterbunden wie ein Start des Betriebssystems. Laut McClure können nur die Mainboard- und UEFI-Hersteller eine derartige Attacke verhindern. Entweder durch digitale Signaturen oder einen Check des BIOS beim Start durch ein zweites BIOS, wie es etwa Dell anbietet. Fallen hier Ungereimtheiten auf, überschreibt der Prozess die manipulierte Firmware mit einer intakten. (des)
Quelle: https://www.heise.de/security/meldung/BIOS-UEFI-mit-Ransomware-infiziert-3630662.html

Ich finde die Entwiklung ziemlich bedenklich und frage mich folgendes:

Ist es notwendig das jeder User ein BIOS/UFI update aus windows Machen Kann?
Ich denke nein das erstellen eines Bootstiks und dann eine Möglichkeit das UFI zu flashen würde sicherlich ausreichen den es ist ja nichts o das es alle par Monate ein solches Update gibt, bei meinen Boards war es höchstens ein 1 - 2 und da ging es meistens um Future Erweiterung usw.
Weiter frage ich mich warum das ganze nicht durch ein Jumper oder eine art Key abfrage der im Handbuch steht autorisiert werden muss.


Die Hersteler sollten ihrer Pflicht nachkommen Ich mag mich noch an einen DX 468 mit 66 MHZ erinnern die kiste lief mindestens 6 Jahre mit windows 3.11 in dieser Zeit gab es keine Updates weder für windows noch für das BIOS und es gab keine Probleme, gut wir hatten auch kein Internet. Mein Vater machte jedoch den Zahlungsverkehr via Videotext oä mit einem 28.8K modem.
Bei meinem zweiten PC ein AMD K6II 500 MHZ wind XP lief eigentlich sehr gut gab es auch keine BIOS updates bzw ich habe sie nicht gemacht. Heute Kauft mann ein spiel für die PS 4 als Willkommens Geschenk 1.8 GB Update. Kauft mann neue Hardware bsp surface book da gab es auch mindestens schon zwei Firmware updates.
Das zeigt mir einfach das die Hersteler uns Unfertige Geräte oder Software verkaufen, mann kann ja alles nach patschen mit einem Update...

Und wieder Hat die Industrie nichts gelernt CIH Virus von 1998 https://de.wikipedia.org/wiki/CIH-Virus

Bei diesem Test stell ich mir einfach noch zwei fragen ASUS hat doch eine Crash Free BIOS und eigentlich werden nicht beide Chips überschrieben um genau so etwas zu verhindern?

Was meint ihr zu der ganzen entwicklung...

 

[e-Funktion]

die kiste lief mindestens 6 Jahre mit windows 3.11 in dieser Zeit gab es keine Updates weder für windows noch für das BIOS und es gab keine Probleme, gut wir hatten auch kein Internet.

Unvorstellbar: Die Systeme sind auch komplexer Geworden in den letzten 30 Jahren.

 

[aroxx]

trotzdem finde ich es unmöglich, dass Menschen Geräte hingestellt werden, die nicht sicher sind und man viel (Vor-)Wissen benötigt um keinen der Fehler zu machen, die einem tatsächlich einen Haufen Geld kosten könnten.

 

[Toby-ch]

Nja das bestreite ich ja auch nicht, aber gerade ein BIOS oder UEFI update ist ein Update mit dem man den PC ins Jenseits (auf den Müll) befördern kann wen etwas schief geht... und da wird ein bisschen mehr Vorsicht nicht schaden.. Bsp. mit einem Jumper oder das ein Solches Update nur direkt aus dem UEFI via Lan möglich ist usw. einfach nicht aus einem OS heraus..

Gegen ein Windows Update spricht ja eigentlich nichts dies kann man ja wieder neu Aufsetzten wen etwas schief geht, jedoch ein BIOS UEFI nicht ausser bei einigen Dell PC's die prüfen angeblich zuerst ob beide BIOS übereinstimmen wen nicht wird es überschrieben..

@aroxx genau meine Meinung...

Bsp dieses Asus board: SABERTOOTH X99

Seit der Erscheinung gab es 9 Bios Updates

Bei drei Updates wurden die CPU und Ram Support aktualisiert da spricht ja eigentlich nichts dagegen.. aber die meistens haben diese Meldung: Improve system stability.

 

[BlubbsDE]

Auch hier gilt wohl eher. Die Sicherheit beginnt bei dem, der vor dem Rechner sitzt. Man kann schon seit zig Jahren ein Bios via Windows updaten. Das geht nicht erst seit den UEFI Erweiterungen. Das geht schon viel länger. Wenn man unsicher ist, dann macht man es wie gewohnt. Offline mit einem USB Stick oder einem anderen Medium im Bios direkt. So einfach ist das.

oder das ein Solches Update nur direkt aus dem UEFI via Lan möglich ist usw. einfach nicht aus einem OS heraus..

Das halte ich potentiell für noch unsicherer. Als die Windows Version. Auf jeden Fall ist es nicht sicherer.

Das ist doch keine neue Erkenntnis. Bequemlichkeit geht zu Lasten von Sicherheit. Will man bequem sein, muss man das in Kauf nehmen. Und wer sich nicht sicher ist, was er da tut, der sollte die Finger davon lassen oder sich Sicherheit verschaffen durch Informationen.

 

[Wilhelm14]

Die Infektion in der Live-Demo begann mit einem präparierten Word-Dokument, das per Makros und Powershell einen Dropper herunterlud. Dieser wiederum zog den BIOS-Updater des Mainboard-Herstellers aus dem Netz und installierte ihn. An dieser Stelle wäre es in der Realität aber knifflig geworden, da ein potentielles Opfer die Installation bestätigen muss.

Ich bin jetzt nicht so der MS Office Makro Experte, aber muss man die nicht erst mit mindestens einem Klick zulassen? Und selbst wenn, es wird ein BIOS-Updater herunter geladen. Die folgende Installation muss vom Anwender ausgeführt werden. Kein System ist resistent gegen Nutzer, die sämtliche Meldungen und Hinweise zulassen, abnicken, abklicken, ausführen.

Ich sehe bei dem Artikel keine besondere Gefahr.

 

[aroxx]

Wenn ich jetzt überlege, wie selbst einfache Maschinen in einer Fabrik gegen unsachgemäße bzw. gefährliche Behandlung gesichert sind, dann kann ich nicht verstehen, wie man dem PC User sagen kann: hier hättest du nicht klicken dürfen, jetzt ist deine Festplatte verschlüsselt und du kannst nichts dagegen tun.

 

[Wilhelm14]

Ein PC wäre sonst nicht so flexibel benutzbar. Deiner Argumentation folgend kann man auch nicht verstehen, dass Küchenmesser einfach so existieren. Damit kann man ohne irgendeine Schutzfunktion jemanden umbringen.

 

[BlubbsDE]

@aroxx

das spricht eben die Realität dagegen. Selbst einfach Maschinen in einer Fabrik? Wieso selbst. Die haben eine Aufgabe. Und der Rest wird eben einfach dicht gemacht. Und beim PC will der User eben alles selbst in die Hand nehmen können. Das ist eben der Punkt. Und wie bei allen Dingen im Leben. Selbst Hand anlegen immer nur dann, wenn man ansatzweise weiß, was man da anstellt.

 

[aroxx]

@Wilhelm14:

Komplexität ---- >>
Küchenmesser --|*|-- einfache Maschine ---- Computer

irgendwo gibt es eine Grenze |*| bei der der Aufwand für Schutzmaßnahmen das potentielle Risiko nicht mehr rechtfertigt. Das oben ist mein Wunschzustand. Der aktuelle Zustand ist leider so:

Komplexität ---- >>
Küchenmesser --|*|-- einfache Maschine --|*|-- Computer

@BlubbsDE Warum muss es ein Widerspruch sein, Dinge selbst ändern zu können und gleichzeitig ein sicheres System zu haben? Ich personalisiere mir auch gerne meine Arbeitsumgebung, aber ich finde, dass ich dabei viel zu viel Angst haben muss etwas Falsches zu machen.

 

[Wilhelm14]

...wie man dem PC User sagen kann: hier hättest du nicht klicken dürfen, jetzt ist deine Festplatte verschlüsselt und du kannst nichts dagegen tun...

Wer sagt das denn dem PC-User? Der Rechner warnt eigentlich mehrfach vor solchen Handlungen, gerade weil Rechner so komplex sind und man die Gefahr nicht so simpel wie bei einem Küchenmesser erkennen kann. Auf der anderen Seite entsteht bei einem Malware-Befall in den meisten Fällen kein körperlicher Schaden für Menschen. Daher sind viele als Admin/root unterwegs, haben die Benutzerkontensteuerung/UAC aus und klicken alles blind ab. Sie empfinden die Warnung nicht als Warnung, sondern als Gängelung.

Ich personalisiere mir auch gerne meine Arbeitsumgebung...

Solange man weiß, was man tut, ist das ja auch in Ordnung. Fehler lassen sich allerdings bei einem Copmuter nicht so leicht als solchen erkennen. Stell die mal vor beim Auto sagt jemand, er schnallt sich nicht an, er fährt einfach nirgendwo gegen. Ich schnall mich nicht an, dafür habe ich Luftpolsterfolie auf dem Lenkrad. Da würde jeder einsehen, dass das fahrlässig ist. An einem Betriebssystem herumgestellt, sind die Folgen überhaupt nicht absehbar.

 

[aroxx]

Wer sagt das denn dem PC-User?

Das ist die Haltung der Hard- und Softwareindustrie gegenüber dem gemeinen PC-User.

Fehler lassen sich allerdings bei einem Computer nicht so leicht als solchen erkennen. Stell die mal vor beim Auto sagt jemand, er schnallt sich nicht an, er fährt einfach nirgendwo gegen. Ich schnall mich nicht an, dafür habe ich Luftpolsterfolie auf dem Lenkrad. Da würde jeder einsehen, dass das fahrlässig ist. An einem Betriebssystem herumgestellt, sind die Folgen überhaupt nicht absehbar.

Genau das ist mein Punkt. Der Nutzer kann nicht mal im Ansatz abschätzen was da alles passiert / passieren kann. Warum nimmt man diesen Umstand einfach so hin? Mir geht es hierbei nicht nur um Probleme, die nur entstehen, wenn der User aktiv eingreift, sondern auch um solche, die entstehen, wenn der User (aus Unwissenheit oder ... oder ...) Probleme bekommt weil er nicht aktiv wird, obwohl er das hätte werden sollen. Zu guter Letzt dann noch der Klassiker:
https://www.heise.de/newsticker/mel...ht-erneut-Windows-Zeroday-Luecke-3630931.html
Nutzer kann sich nicht mal schützen, selbst wenn er will, weil der Softwarehersteller keine Patches bereitstellt.

Die Nutzer sind einfach viel zu sehr daran gewöhnt schlechte Software vorgesetzt zu bekommen.

 

[e-Funktion]

Der eine beschwert sich, dass überhaupt Updates ausgeliefert werden müssen. Der nächste bemängelt, dass es eine Zeroday-Lücke gibt. Ja, so ist das eben...man setzt sich nicht einfach hin und schreibt mal schnell ein Betriebssystem oder ein komplexeres Stück Software. Auch Prozessoren bekommen Microcode-Updates. WOW.

Ja, es gibt Software die schlichtweg Müll ist und es gibt sicher auch Dinge, die echt doof laufen.
Nein, man kann nicht einfach so ein paar mio. Zeilen Code 100% fehlerfrei aus dem Ärmel schütteln.

Ich habe den Eindruck, dass sich manche hier das alles sehr Simpel vorstellen.

 

[chrigu]

trotzdem finde ich es unmöglich, dass Menschen Geräte hingestellt werden, die nicht sicher sind und man viel (Vor-)Wissen benötigt um keinen der Fehler zu machen, die einem tatsächlich einen Haufen Geld kosten könnten.

genau.... unsichere geräte für die menschen, das ist ein skandal... sofort autos abschaffen, flugzeuge, waffen, fabriken, treppen, fahrräder.....
nicht böse sein, das musste aber sein

ich denke mal, je komplexer ein pc ist, desto grösser das wissen des benutzer sein muss. oder der umkehrschluss: wenn der mensch mit der maschine nicht mitwachsen möchte, verliert er.
es wird immer irgendwo eine sicherheitslücke geben die irgendeiner ausnützt. haupttriebfeder von ramsonware und erpress-trojaner ist momentan das geld. ergo sollte man das geld ganz abschaffen. das würde maschine und mensch befreien

 

[andy_m4]

Also Komplexität hin oder her. Und Flexibilität des Gerätes hin oder her.
Aber ein BIOS flashen sollte halt nicht so einfach gehen. Bei einem normalen Infekt ist man den spätestens wieder los, wenn man den Rechner neu aufsetzt. Aber Schadsoftware im "BIOS" ist einfach Mist.

Ich kann nachvollziehen, wenn auch ein BIOS mal geupdatet werden muss. Aber dann soll das allein über das BIOS-Setup selbst gehen. Nicht so versierten Benutzern wird ohnehin davon abgeraten das BIOS selbst zu updaten. Dann besteht auch keine Notwendigkeit ne komfortable Möglichkeit in Windows selbst anzubieten.

Alternativ könnte man dazu übergehen das BIOS zu verschlanken, damit da eben nicht so viele Bugs drin sein können. So ein BIOS enthält ja auch ein Haufen Altlasten, die man heute nicht im Normalfall mehr braucht. Es abzulösen ist prinzipiell ne gute Idee. Nur führt UEFI ja noch mehr Komplexität rein und ist damit meines Erachtens nach der falsche Weg.