UEFI Sicherheitslücke

Damit ein Computer ein Betriebssystem wie Windows starten kann, müssen zuerst Information erfasst werden wie z.B. “Welche Peripheriegeräte wie Tastaturen sind angeschlossen?” “Ist eine Festplatte vorhanden?” “Existiert auf dieser Festplatte ein Betriebssystem?”…

Erst danach kann das Betriebssystem wie Windows von dieser Festplatte gestartet werden.

Diese Firmware des Computers wird oft auch BIOS oder neuer UEFI genannt.

“Das BIOS [/ˈbaɪ.oʊs/] (von englisch „basic input/output system“) ist die Firmware bei x86-PCs. Es ist in einem nichtflüchtigen Speicher auf der Hauptplatine eines PC abgelegt und wird unmittelbar nach dessen Einschalten ausgeführt. Aufgabe des BIOS ist es unter anderem, den PC zunächst funktionsfähig zu machen und im Anschluss das Starten eines Betriebssystems einzuleiten.” Quelle: http://de.wikipedia.org/wiki/BIOS

“Die Weiterentwicklung der Hardware hat im Laufe der Zeit (Stand 2010 ist das BIOS-Konzept bereits mindestens 35 Jahre alt) zu einer Reihe von iterativen, inkompatiblen Ergänzungen geführt, die zunehmend den Charakter von „Flickschusterei“ tragen und bei 64-Bit-Systemen an ihre Grenzen stoßen. Daher wurde in Form von Extensible Firmware Interface (EFI, bzw. UEFI) ein BIOS-Nachfolger entwickelt.” Quelle: http://de.wikipedia.org/wiki/BIOS

Nun gibt es aber mehrere Sicherheitslücken in der UEFI Referenzimplementierung von Intel. Diese Referenzimplementierung wurde dann von vielen Computerherstellern übernommen und für ihre Zwecke angepasst. Die Sicherheitslücken sind so in die UEFI Firmware von vielen verschiedenen Herstellern gekommen.

Falls ein Angreifer z.B. durch andere Sicherheitslücken Admin-Rechte auf einem Windows Rechner erlangt, kann er von Windows aus die UEFI Firmware verändern und auf diesem Weg z.B. ein Rootkit einschleusen. Da die Firmware vor dem Betriebssystem geladen wird, bieten Sicherheitsmechanismen des Betriebssystems wie Virenscanner keinen Schutz mehr. Im schlimmsten Fall hat man kompromittierte Systeme und kann dies nicht einmal überprüfen. Aus diesem Grund haben die Entdecker von Mitre der Sicherheitslücken von “Extreme Privilege Escalation” gesprochen.

Aus der Präsentation von Mitre:

image

image

Die meisten unserer Systeme kommen von Lenovo. Lenovo hat wie viele der anderen grossen Hersteller auch betroffene Systeme und veröffentlicht diese inkl. der nötigen Firmware Version ab der das Problem behoben ist.

Die Firmware Updates kann man ohne Benutzerinteraktion über SCCM verteilen. In der Datei readme.txt ist jeweils das Vorgehen beschrieben. Bei der Version zum Bild unten würde der Befehl “wflash2.exe IMAGEEFB.ROM /quiet” lauten.

image

Ich weiss aber noch nicht, wie ich die Updates durchführe. Bei uns sind 143 Systeme betroffen. Wenn während eines Firmwareupdates der Computer vom Strom getrennt wird, könnte die Firmware in einem Zustand sein, den man nicht wieder reparieren kann. Die Feststationen lassen sich mal in der Nacht über WOL aufwecken, damit sie das Update durchführen, aber die Laptops nicht. Allenfalls verteile ich da das Update, weise es aber nicht zu, so dass die Schuhaussupporter vor Ort das Update manuell ausführen müssten und sicherstellen können, dass es korrekt durchläuft. Mal sehen…

Nachtrag
Bei einigen Modellen von Lenovo kann die Firmware nach einem fehlerhaften BIOS-Update scheinbar wieder gerettet werden, indem man einen Jumper setzt und dann von CD startet. Dazu sucht man im Manual nach “Recovering from a POST/BIOS update failure”.

image

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s