Malware im BIOS

Früher nur umständlich durch­zu­führen, sind BIOS-Updates deutlich kom­for­tabler geworden. Hat sich hier jedoch Malware ein­ge­nistet, hilft auch moderne Anti­­viren-Software oder die Neu-Instal­lation des Betriebs­systems nichts!

Um einen PC ans Laufen zu bringen, muss auf dem Mother­board neben  allerlei elek­tri­schen Bau­teilen, das BIOS, „Basic Input/Output System“ dafür sorgen, dass alle Hard­ware­kom­po­nenten in Betrieb genommen werden können, das Betriebs­system geladen wird und dieses die Kom­po­nenten zur Laufzeit auch ver­wenden kann. Eine zen­trale Rolle also – und damit kri­tisch für die Betriebs­fä­higkeit eines PC.

„BIOS“
Was waren das früher noch für Zeiten als das Bios noch gebrannt wurde. Unver­än­derlich! Fest ver­lötet. Vereint bis zum Ende. Gut es hatte auch Nach­teile durch feh­lende Kom­pa­ti­bi­lität mit neuer Hardware.  Dann kamen die (wieder-)beschreibbaren Komponenten.

1981 ent­wi­ckelt, wurde es Anfang 2000 den Anfor­de­rungen moderner Hardware und Betriebs­systeme nicht mehr gerecht. Ein Punkt ist die vom System ver­waltbare Fest­plat­ten­größe. Mit der Ein­führung von 64-Bit-Pro­­­zes­­soren kam dann der Bedarf an 64-Bit­­Be­­triebs­­­sys­­temen und einem dafür taug­lichem BIOS. Nach­folger war zunächst das Exten­sible Firmware Interface (EFI), dann das Unified Exten­sible Firmware Interface (UEFI). Das BIOS ist mäch­tiger geworden. Es sind neue Funk­tionen hin­zu­ge­kommen, die unab­hängig vom Betriebs­system ope­rieren können.

Auch ich habe ein Mother­board, mit dem ich ohne den Einsatz eines „Betriebs­systems“ wie Windows im Internet surfen kann. Was bedeutet das: Es ist ein Netzwerk-Zugriff möglich und auch das Internet-Pro­­­tokoll wird  pro­blemlos ver­ar­beitet. Das BIOS-Update kann ich bequem unter Windows durchführen.

Türe auf für nach­haltige Sicherheitsprobleme
Inzwi­schen ist es also möglich, aus dem Betriebs­system in das BIOS zu schreiben. Erst einmal also eine gute Sache, da man nun von einer Ober­fläche aus das kom­plette System managen kann.

Der Teufel steckt jedoch im Detail:
Wenn der Anwender dorthin schreiben kann, tut dies letztlich Software. Doch nicht jede Software agiert im Sinne des Anwenders: Zugunsten unserer Bequem­lichkeit haben wir eine Türe geöffnet, durch die nun auch Malware schreitet.
Dabei haben wir ver­gessen, dass in der Archi­tektur von Sicher­heits­vor­keh­rungen Abhän­gig­keiten bestehen.

Der Großteil unserer Sicher­heits­vor­keh­rungen beruht darauf, dass Sicherheit von außen nach innen und von Unten nach Oben statt­findet. Also Schutz durch abschließbare Räum­lich­keiten, Schutz durch Boot­passwort und Passwort vor Ände­rungen in der Kon­fi­gu­ration des BIOS. Dort ist fest­gelegt, dass kein Booten des Betriebs­systems von einem externen Daten­träger erfolgen darf, der die Berech­ti­gungen und Sicher­heits­vor­keh­rungen des Betriebs­systems aus­hebeln könnte. Dann folgt der Schutz vor Instal­lation durch unbe­rech­tigte Per­sonen. Ein „Neu instal­liertes Betriebs­system“, das sauber, also frei von Malware ist, ist Vor­aus­setzung für — soft­ware­ba­sierte Lösungen- zum Schutz vor Malware. etc.

Die Wenigsten wissen, dass die meisten nor­malen Anti­vi­ren­pro­gramme sich einer ein­ge­bauten Schnitt­stelle des Betriebs­systems bedienen, um die Dateien eines PCs zu scannen. Ist diese kom­pro­mit­tiert, kann man sich nicht mehr auf die Ergeb­nisse des Scanners ver­lassen. Diese Art der Malware nennt sich dann „Rootkit“. Die Ent­de­ckung erfordert zumeist ein soge­nanntes Live-System oder einen anderen „sau­beren“ PC, der die Fest­platte prüft.

Und nun stellen Sie sich vor, dass es mit der neuen Art von Schäd­lingen kein nach­weislich sau­beres System mehr gibt:. Die Schäd­linge sitzen da, wo kein Viren­scanner hin­kommt. Nun schützen weder Live-Systeme, die von DVD gebootet werden, noch neu instal­lierte PCs. Es wird die Sicher­heits­ar­chi­tektur des Systems unter­wandert. Einzige Lösung: ein neues Firmware-Update ein­spielen. Aller­dings natürlich auf­grund eines Ver­dachts, denn wie gesagt: ein Viren­scanner kommt dort nicht hin.
Klasse! Was für ein tech­ni­scher Fort­schritt. Auf dem Schwarz­markt wird viel Geld für Sicher­heits­lücken gezahlt – nicht nur von Kriminellen.

„Betroffen ist die Firmware vieler Her­steller: Unter anderem gelang den For­schern ihr Angriff auf Systeme mit Main­boards von Dell, HP, Lenovo, Gigabyte, Acer und MSI. Da UEFI-Systeme unter­schied­licher Her­steller oft sehr viel Firmware-Code gemeinsam haben, mussten die For­scher ihren Schadcode nur wenig anpassen und schätzen, dass Mil­lionen von Rechnern aktuell angreifbar sind“

Sicher­heits­vor­keh­rungen der Hersteller
Natürlich ist so ein Schreib­zu­griff nicht ganz trivial. Aber bereits im Januar 2015 wurde demons­triert, dass dies möglich ist. Und das US-Cert warnte vor wei­teren UEFI-BIOS-Lücken.
Ach ja, ein kleiner Hinweis am Rande: Ein mit Windows 8 ver­kaufter PC läuft auf jeden Fall im UEFI-Modus. Dies ver­langt die Spe­zi­fi­kation. Grund­sätzlich wäre dies nicht schlecht: Mit Windows 10 will Microsoft Hardware noch stärker gegen Malware-Angriffe schützen und schreibt außer UEFI Secure Boot nun auch ein Trusted Platform Modules (TPM) vor.  Secure Boot soll ver­hindern, dass sich Schad­software vor dem Start eines Betriebs­systems ein­nistet. Im Secure-Boot-Modus lädt die Firmware des Desktop-Rechners oder Note­books aus­schließlich digital signierte UEFI-Boo­t­­loader.

Aller­dings ist Microsoft nicht der einzige Anbieter auf dem Markt und nicht jeder ver­trau­ens­würdige Anbieter lässt sich zer­ti­fi­zieren. Zudem werden inter­es­sierte Leser sicher regis­triert haben, dass eine Zer­ti­fi­zierung die Hürden für eine Infektion hoch legt, diese jedoch auch nicht ver­hindern kann. Zumal manchmal Zer­­ti­­fikats-Anbieter auch Fehler machen bzw. Lücken bei der Vergabe haben.

Fazit
Künftig darf also auch über die Serio­sität von Mother­boards dis­ku­tiert werden, ebenso über die Ver­triebs­kanäle der­selben oder die Quelle des Firmware-Updates.
Wer die Mel­dungen über Schwach­stellen bei Routern oder USB-Sticks ver­folgt hat weiß, dass sich nicht jeder Her­steller bemüßigt fühlt, zeitnah oder über­haupt eine Lösung zur Ver­fügung zu stellen.
Die Meldung dürfte damit auch all die­je­nigen erfreuen, die sich um die Updates im Firmen-Netzwerk kümmern dürfen: Sie haben nun eine Bau­stelle mehr zu versorgen.
Ein Trost zu Schluss: Es gibt viele andere und leichter Wege, ein System dau­erhaft zu kom­pro­mit­tieren. Sicherheit ist eben nur eine Hürde – und es obliegt jedem Ver­ant­wort­lichen zu ent­scheiden, wie hoch diese liegen soll oder muss. 

Bild:  © Sebastian Sta­en­decke, modern-props   / pixelio.de