Forscher-Demo nutzt die Windows 8 Secure Boot umgehen

2013-12-30  |  Comebuy News

Der Windows 8 Secure Boot-Mechanismus kann umgangen werden auf PCs von bestimmten Herstellern wegen Versäumnisse in wie diese Anbieter die Unified Extensible Firmware Interface (UEFI)-Spezifikation, nach einem Team aus Sicherheitsexperten implementiert.

Comebuy Verwandte Artikel: Windows RT: Fehler kein Fehler?Installation von Linux auf Windows-8-PCs: keine einfache AnswersSpanish Linux User Gruppe Files europäischen Kartellrecht Beschwerde gegen MicrosoftLinux Stiftung frei sichern LoaderSpanish Linux Benutzer-Gruppe Startdateien europäischen Kartellrecht Beschwerde gegen Microsoft

Die Forscher Andrew Furtak, Oleksandr Bazhaniuk und Yuriy Bulygin bewiesen Mittwoch auf der Sicherheitskonferenz Black Hat USA in Las Vegas zwei Angriffe, die Secure Boot umgangen um ein UEFI-bootkits--Boot Rootkit--installieren auf betroffenen Computern.

Sicheren Boot ist ein Feature der UEFI-Spezifikation, die nur Software-Komponenten mit vertrauenswürdigen digitalen Signaturen geladen werden, während der Startsequenz zulässt. Es soll insbesondere verhindern, dass Malware wie Bootkits gefährden den Boot-Vorgang.

Den Forschern zufolge sind die Heldentaten auf dem Black Hat demonstriert möglich nicht wegen Sicherheitslücken in sicheren Boot selbst, sondern wegen UEFI Implementierungsfehler von Plattform-Anbieter gemacht.

Der erste Exploit funktioniert, da bestimmte Hersteller nicht ordnungsgemäß ihre Firmware Angreifer ändern Sie den Code schützen für die Durchsetzung von Secure Boot, verantwortlich, sagte Bulygin, der bei McAfee arbeitet.

Der Exploit soll die Plattform-Taste ändern--der Stammschlüssel in den Mittelpunkt aller Secure Boot-Signatur-Prüfungen--, sondern um es funktionieren muss im Kernel-Modus, der privilegiertesten Teil des Betriebssystems ausgeführt werden.

Diese etwas schränkt den Angriff, da ein Angreifer zuerst einen Weg finden, Code im Kernel-Modus auf dem Zielcomputer ausführen müssten.

Die Forscher demonstriert ihre Kernel-Modus-Exploit auf einem Asus VivoBook-Q200E-Laptop, aber einige PC-Mainboards von Asus, sind ebenfalls nach Bulygin betroffen.

Asus veröffentlicht BIOS-Updates für einige Mainboards und Grafikkarten, aber nicht für den VivoBook-Laptop, sagte des Forschers. Er glaubt, dass mehr VivoBook Modelle gefährdet sein könnte.

ASUS hat auf eine Anfrage gesendet Donnerstag Kommentar nicht geantwortet.

Der zweite Exploit demonstriert, indem die Forscher kann im Benutzermodus ausgeführt, was bedeutet, dass ein Angreifer nur Code Ausführungsrechte auf dem System erhalten, indem eine Sicherheitslücke in einer normalen Anwendung wie Java, Adobe Flash, Microsoft Office oder andere müssten.

Die Forscher gingen zu offenbaren, dass die technischen Details über den zweiten Angriff oder um die Hersteller deren Produkte nennen davon betroffen sind weil die gezielte Sicherheitsanfälligkeit vor kurzem entdeckt wurde.

Das Problem, das den Kernel-Modus nutzen ermöglicht entdeckt und berichtet, dass die betroffenen Plattform-Anbieter vor über einem Jahr, sagte Bulygin. Irgendwann Nachdem genügend Zeit verstrichen ist, sagte die Öffentlichkeit muss wissen, er.

Auch mehrere andere Punkte, die verwendet werden können, um Secure Boot zu umgehen wurden und ihre Verbreitung mit Microsoft und dem UEFI-Forum, den Industrie-standard-Körper, die verwaltet die UEFI-Spezifikation, koordiniert, sagte Bulygin.

"Microsoft arbeitet mit Partnern zusammen, um sicherzustellen, dass die sicheren Boot bietet eine große Sicherheit-Erfahrung für unsere Kunden," sagte Microsoft am Donnerstag in einer Erklärung per e-Mail.

Trotz dieser Anbieter Umsetzungsprobleme ist Secure Boot immer noch ein großer Schritt vorwärts, Bulygin sagte. Bootkits installieren müssen nun Angreifer zuerst eine Schwachstelle zu finden, die es ihnen ermöglichen, Secure Boot, zu umgehen, während auf älteren Plattformen gab es nichts zu stoppen, sagte er.

« Back