7. August 2015 Rudolf Felser

Fast 20 Jahre alter Bug in Intel CPUs hebelt jede Sicherheit aus

Im Rahmen der Security-Konferenz Black Hat hat Sicherheits-Experte Christopher Domas seine Ergebnisse über einen Design-Fehler in der x86-Prozessor-Architektur vorgestellt. [...]

Ein fast 20 Jahre alter Design-Fehler in der x86-Architektur erlaubt es Angreifern, ein Rootkit auf einem sehr elementaren Level der Firmware von Computern zu installieren – wo es für Security-Software unentdeckbar bleibt. Die Schwachstelle ist Teil eines Features, das 1997 erstmalig in die x86-Architektur eingeführt wurde. Gefunden hat die Lücke der Security-Forscher Christopher Domas vom Battelle Memorial Institute.

Durch Ausnutzung des Bugs können Angreifer ein Rootkit im geschützten System Management Mode (SMM) des Prozessors installieren, wo es auch für moderne Firmware-Security-Funktionen unsichtbar wäre. Einmal an Ort und Stelle könnte mit Hilfe dieses Rootkits allerlei Schabernack getrieben werden, wie das Löschen des UEFI (Unified Extensible Firmware Interface) oder das erneute Infizieren des Betriebssystems nach einem Clean Install. Selbst aktuelle Funktionen wie Secure Boot kommen dann nicht mehr dagegen an, so der Forscher – denn auch sie bauen auf SMM auf.

Domas zufolge ist sich Intel des Fehlers bewusst und hat ihn in seinen neuesten CPUs ausgemerzt. Außerdem soll es Firmware-Updates für ältere Prozessoren geben, wenn auch nicht alle gepatcht werden können.

Ein kleiner Hoffnungsschimmer: Um das Rootkit im SMM zu installieren, müssen die Angreifer bereits Zugriff auf Kernel- oder System-Ebene haben, die Lücke selbst kann also nicht genutzt werden, um ein System zu infizieren. Einmal festgesetzt kann es aber eine existierende Malware-Infektion effektiv verschleiern.

Donmas hat den Exploit zwar nur auf Intel-Prozessoren getestet, hat aber angemerkt, dass auch AMDs x86-CPUs theoretisch angreifbar sein müssten. Außerdem führt er an, dass es selbst wenn Computer-Hersteller Updates für das BIOS/UEFI zur Verfügung stellen, ihre Adoptions-Rate – besonders im Consumer-Bereich – wohl relativ gering ausfallen würde. Um sich for der Lücke zu schützen kann man also nicht viel tun, außer den üblichen Maßnahmen, um es erst überhaupt gar nicht zu einer Infektion kommen zu lassen. (rnf)


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

1. November 2024

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*