Definition

Rootkit-Angriff auf BIOS-Ebene (BIOS Rootkit Attack)

Ein Rootkit-Angriff auf BIOS-Ebene – auch bekannt unter dem Begriff persistenter BIOS-Angriff – ist ein Exploit, bei dem ein BIOS-Flash (Update) mit Schadcode ausgeführt wird. Ein BIOS-Rootkit ist Programmcode, der eine Fern-Administration ermöglicht.

Das BIOS (Basic Input/Output System) ist eine Firmware, die in einem festen Speicher liegt und bereits läuft, während der Computer bootet. Weil das BIOS im Memory anstatt auf einer Festplatte liegt, übersteht ein BIOS-Rootkit sämtliche konventionellen Versuche, Schad-Software loszuwerden. Auch ein Formatieren oder Austauschen der Festplatte bringt keinen Erfolg.

Ursprünglich war BIOS-Firmware hartcodiert und schreibgeschützt. Inzwischen verwenden die meisten Hersteller jedoch ein löschbares Format wie zum Beispiel Flash-Speicher, so dass das BIOS einfach per Remote-Update aktualisiert werden kann. Zugleich wird das BIOS dadurch aber verwundbarer gegenüber Online-Angriffen.

Ein BIOS-Angriff setzt nicht voraus, dass eine spezielle Sicherheitslücke auf dem Zielsystem vorhanden ist. Wenn ein Angreifer Administratoren-Rechte erlangt hat, kann er das BIOS über das Internet mit einer schädlichen Firmware aktualisieren. Joel Hruska beschreibt auf ars technica einen bestimmten BIOS-Rootkit-Angriff:

Der besagte Angriff besteht darin, ein neues BIOS in flashroom (ein Werkzeug zum Lesen, Beschreiben und Modifizieren von BIOS') zu laden und die erforderlichen Änderungen vorzunehmen. Man manipuliert alle Checksummen, dass das gehackte BIOS als authentisch bestätigt wird – und voilá, wir haben ein bösartiges BIOS.

Manche Forscher befürchten, dass BIOS-Rootkits ein besonderes Risiko für Cloud-Computing-Umgebungen darstellen, weil dort diverse virtuelle Maschinen (VMs) auf einem einzigen physischen System laufen.

Zu den Methoden, die einen Schutz vor BIOS Rootkit-Angriffen bieten, gehören:

  • das Einführen digitaler Signaturtechnik, um unberechtigte Zugriffe zu verhindern
  • das Sperren des Schreibzugriffs auf das BIOS
  • das Brennen eines kryptographischen Schlüssels in das BIOS zum Zeitpunkt der Herstellung. Über diesen kann anschließend verifiziert werden, ob der Code verändert wurde.

Falls ein unberechtigtes Rootkit auf BIOS-Ebene entdeckt wird, gibt es nur eine Möglichkeit, es loszuwerden: Der Speicher, in dem das BIOS liegt, muss physisch ausgebaut und ersetzt werden.

Diese Definition wurde zuletzt im Februar 2011 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close