Über unsMediaKontaktImpressum
24. März 2015

Lighteater: Rootkit hebelt alle Betriebssysteme aus

Über Schwachstellen im System Management Modus (SMM) des BIOS können Angreifer unabhängig vom Betriebssystem die Kontrolle übernehmen und Daten auslesen. Das haben jetzt die Sicherheitsforscher Corey Kallenberg und Xeno Kovah auf der CanSecWest-Konferenz in ihrem Testcase gezeigt.

Selbst ein Live-Betriebssystem wie Tails ist davor nicht sicher: Das Rootkit pflanzt sich vorbei an Betriebssystem und Festplatte direkt ins BIOS. Nach einer Infektion helfen weder eine Neu-Installation des Rechners noch ein Tausch der Festplatte: Die Malware sitzt direkt im Bios-Chip und kann von dort den Arbeitsspeicher auslesen. Die Entwickler haben Ihre Software "Lighteater" genannt. Mit Ihr können Angreifer auch GPG-Schlüssel selbst aus vermeintlich sicheren Live-Betriebssystemen wie Tails auslesen. Für die Implementation werden Sicherheitslücken im Bios genutzt, darunter auch von Geräten der Hersteller Acer, Asus, Dell, Gigabyte, HP und MSI.

Die beiden IT-Sicherheitsexperten Corey Kallenberg und Xeno Kovah konnten in ihrem Proof of Conecept zeigen, wie man einen in Tails genutzten GPG-Schlüssel aus dem Arbeitsspeicher auslesen und auf nichtflüchtigem Speicher ablegen kann. Von dort kann er später weiter verwendet werden. Mittels Intel Active Management Technology (Intel AMT) können Angreifer dann den seriellen Port öffnen und mit dem Serial-Over-LAN-Protokoll Daten über das Netzwerk versenden. Mit einer simplen ROT13-Verschlüsselung konnten dabei sogar Intrusion Detection Systeme (IDS) umgegangen werden. Snort beispielsweise erkennt den Angriff nicht.

Die betroffenen Hersteller sind inzwischen informiert. Lenovo, HP und Dell haben bereits Patches zugesagt. Andere Hersteller haben zum Teil noch nicht reagiert oder die Schwachstelle sogar abgestritten.
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.