collombo
MyBoerse.bz Pro Member
Extreme Privilege Escalation: Gefährliche Sicherheitslücken in UEFI-Firmware !
Forscher entdeckten Lücken in Intels UEFI-Implementierung, durch die sich Rootkits einschleusen lassen.
HP hat daraufhin Firmware-Updates für über 1500 Varianten von PCs, Notebooks, Server etc. veröffentlicht.
Das ganze Ausmaß ist noch nicht absehbar.
Mitre-Forscher entdeckten zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung, die zahlreichen PC-Herstellern als Blaupause für ihre UEFI-Firmware dient.
UEFI-Firmware läuft als BIOS auf Desktop-PCs, Notebooks, Servern, Mainboards und Embedded Systems.
Durch die Schwachstellen CVE-2014-4859 und CVE-2014-4860 kann ein Angreifer die Firmware dauerhaft manipulieren, etwa um ein für das Betriebssystem unsichtbares Rootkit zu installieren.
Auch das US-CERT warnt vor der Gefahr.
Fatale Variablen
Die Schwachstellen klaffen im Update-Mechanismus, den man unter Windows indirekt mit Admin-Rechten anstoßen kann.
Die UEFI-Firmware arbeitet mit eigenen Umgebungsvariablen, die das Betriebssystem teilweise auslesen und beschreiben darf.
Existiert beim Systemstart die Variable CapsuleUpdateData, versucht die Firmware, ein Image an einem durch die Variable definierten Speicherbereich aufzuspüren und weiter zu verarbeiten.
Dabei kommt es an zwei Stellen zu Integer Overflows, die ein Angreifer ausnutzen kann, um Schadcode zu diesem sehr frühen Zeitpunkt des Bootvorgangs auszuführen.
Der Code muss nicht mal eine gültige Signatur besitzen.
Extreme Privilege Escalation
Die Mitre-Forscher bezeichnen den durch die Lücken möglichen Angriffe als "BIOS Extreme Privilege Escalation".
Sie entdeckten die Lücken bereits Ende vergangenen Jahres und versuchen seitdem, die beteiligten Hersteller zum Handeln zu bewegen.
Zunächst informierten sie Intel, woraufhin das Unternehmen seine Referenzimplementierung gepatcht hat.
Seit Mai bietet Intel BIOS-Updates für seine eigene Hardware an.
Betroffen sind hier Mini-PCs vom Typ NUC, zahlreiche Server-Mainboards sowie auch die Entwicklerplattform Galileo.
Update-Situation unklar
HP stellte gerade BIOS-Updates für mehr als 1500 Desktop-PCs, Kassensysteme, Thin Clients, Workstations und Mobilrechner bereit.
Bei Lenovo sind weniger Systeme betroffen, einige Updates sollen in den folgenden Monaten nachgereicht werden.
Dell nutzt ein UEFI-BIOS, welches die Fehler nicht enthält, empfiehlt bei manchen Rechnern aber trotzdem Updates.
Auf Anfragen von heise online an die PC- und Mainboard-Hersteller Acer, Asus, Asrock, Fujitsu, Gigabyte, MSI, Supermicro und Tyan sind bisher noch keine Antworten eingegangen.
Forscher entdeckten Lücken in Intels UEFI-Implementierung, durch die sich Rootkits einschleusen lassen.
HP hat daraufhin Firmware-Updates für über 1500 Varianten von PCs, Notebooks, Server etc. veröffentlicht.
Das ganze Ausmaß ist noch nicht absehbar.
Mitre-Forscher entdeckten zwei fatale Sicherheitslücken in Intels UEFI-Referenzimplementierung, die zahlreichen PC-Herstellern als Blaupause für ihre UEFI-Firmware dient.
UEFI-Firmware läuft als BIOS auf Desktop-PCs, Notebooks, Servern, Mainboards und Embedded Systems.
Durch die Schwachstellen CVE-2014-4859 und CVE-2014-4860 kann ein Angreifer die Firmware dauerhaft manipulieren, etwa um ein für das Betriebssystem unsichtbares Rootkit zu installieren.
Auch das US-CERT warnt vor der Gefahr.
Fatale Variablen
Die Schwachstellen klaffen im Update-Mechanismus, den man unter Windows indirekt mit Admin-Rechten anstoßen kann.
Die UEFI-Firmware arbeitet mit eigenen Umgebungsvariablen, die das Betriebssystem teilweise auslesen und beschreiben darf.
Existiert beim Systemstart die Variable CapsuleUpdateData, versucht die Firmware, ein Image an einem durch die Variable definierten Speicherbereich aufzuspüren und weiter zu verarbeiten.
Dabei kommt es an zwei Stellen zu Integer Overflows, die ein Angreifer ausnutzen kann, um Schadcode zu diesem sehr frühen Zeitpunkt des Bootvorgangs auszuführen.
Der Code muss nicht mal eine gültige Signatur besitzen.
Extreme Privilege Escalation
Die Mitre-Forscher bezeichnen den durch die Lücken möglichen Angriffe als "BIOS Extreme Privilege Escalation".
Sie entdeckten die Lücken bereits Ende vergangenen Jahres und versuchen seitdem, die beteiligten Hersteller zum Handeln zu bewegen.
Zunächst informierten sie Intel, woraufhin das Unternehmen seine Referenzimplementierung gepatcht hat.
Seit Mai bietet Intel BIOS-Updates für seine eigene Hardware an.
Betroffen sind hier Mini-PCs vom Typ NUC, zahlreiche Server-Mainboards sowie auch die Entwicklerplattform Galileo.
Update-Situation unklar
HP stellte gerade BIOS-Updates für mehr als 1500 Desktop-PCs, Kassensysteme, Thin Clients, Workstations und Mobilrechner bereit.
Bei Lenovo sind weniger Systeme betroffen, einige Updates sollen in den folgenden Monaten nachgereicht werden.
Dell nutzt ein UEFI-BIOS, welches die Fehler nicht enthält, empfiehlt bei manchen Rechnern aber trotzdem Updates.
Auf Anfragen von heise online an die PC- und Mainboard-Hersteller Acer, Asus, Asrock, Fujitsu, Gigabyte, MSI, Supermicro und Tyan sind bisher noch keine Antworten eingegangen.
