it-swarm.com.de

Kann ein Virus das BIOS eines modernen Computers zerstören?

In den späten 1990er Jahren begann ein Computervirus namens CIH, einige Computer zu infizieren. Die ausgelöste Nutzlast überschrieb die Systeminformationen und zerstörte das BIOS des Computers, wodurch im Wesentlichen der infizierte Computer blockiert wurde. Könnte ein Virus, der moderne Betriebssysteme (wie Windows 10) betrifft, das BIOS eines modernen Computers zerstören und es im Wesentlichen auf die gleiche Weise blockieren, oder ist es jetzt für einen Virus unmöglich, auf das BIOS eines modernen Computers zuzugreifen?

95
user73910

Moderne Computer haben kein BIOS, sie haben ein UEFI . Das Aktualisieren der UEFI-Firmware vom laufenden Betriebssystem ist ein Standardverfahren. Daher kann jede Malware, die es schafft, mit ausreichenden Berechtigungen auf dem Betriebssystem ausgeführt zu werden, versuchen, dasselbe zu tun. Die meisten UEFIs akzeptieren jedoch keine Aktualisierung, die nicht vom Hersteller digital signiert ist. Das heißt, es sollte nicht möglich sein, es mit beliebigem Code zu überschreiben.

Dies setzt jedoch voraus, dass:

  1. die Mainboard-Hersteller schaffen es, ihre privaten Schlüssel geheim zu halten
  2. das UEFI weist keine unbeabsichtigten Sicherheitslücken auf, die das Überschreiben mit beliebigem Code ermöglichen oder auf andere Weise ausgenutzt werden können, um Schaden zu verursachen.

Und diese beiden Annahmen gelten nicht unbedingt.

In Bezug auf durchgesickerte Schlüssel: Wenn ein UEFI-Signaturschlüssel der Öffentlichkeit bekannt wird, können Sie davon ausgehen, dass eine Menge Medienberichte und hysterische Patches stattfinden. Wenn Sie einige IT-Nachrichten verfolgen, werden Sie wahrscheinlich viele Alarmisten sehen "Wenn Sie ein [Marken-] Mainboard haben, aktualisieren Sie Ihr UEFI jetzt !!! 1111oneone" Schlagzeilen. Eine andere Möglichkeit ist die Unterzeichnung von Schlüsseln, die heimlich an staatliche Akteure weitergegeben werden. Wenn Ihre Arbeit für Industriespionage interessant sein könnte, könnte dies auch eine glaubwürdige Bedrohung für Sie sein.

In Bezug auf Fehler: UEFIs erhalten immer mehr Funktionen, die immer mehr Möglichkeiten für versteckte Fehler bieten. Ihnen fehlen auch die meisten internen Sicherheitsfunktionen, die Sie nach dem Booten eines "echten" Betriebssystems haben.

120
Philipp

Ja, das ist definitiv möglich.

Heutzutage, da UEFI immer weiter verbreitet ist, ist dies noch besorgniserregender: UEFI hat eine viel größere Angriffsfläche als herkömmliches BIOS, und ein (potenzieller) Fehler in UEFI könnte eine Hebelwirkung haben, um Zugang zu einer Maschine zu erhalten, ohne physischen Zugriff zu haben (- wie die Leute von Eclypsium letztes Jahr bei Black Hat gezeigt haben ).

46
Stephane

In der Praxis ist ein Virus Software, kann also alles tun, was jede andere Software kann.

Also die einfache Antwort auf diese Frage und alle anderen der Klasse "Können Viren X machen?" ist zu fragen "Macht Software derzeit X?"

Solche Fragen könnten beinhalten: "Kann ein Virus meinen Hund laufen lassen?" (nicht ohne einen Hundegehroboter); "Kann mir ein Virus Pizza bringen?" (Ja, dies ist jedoch leider nicht das Hauptaugenmerk der meisten Virusautoren).

Werden BIOSes (UEFI) derzeit mithilfe von Software aktualisiert? Die Antwort lautet: Ja, das sind sie. Meins wurde letzte Nacht aktualisiert, als ich neu gestartet habe.

Die Antwort lautet also ja.

Nach der gleichen Logik können Viren auch physische Schäden an Ihrer CPU, Ihren Festplatten und Druckern verursachen (und haben diese in der Vergangenheit verursacht).

Hausautomationssysteme und fahrerlose Fahrzeuge sind ebenfalls mögliche Ziele für physische Schäden, aber ich kenne keine Viren, die dies getan haben.

20
Dewi Morgan

Ja, das ist definitiv möglich.

Hier ist ein Beispiel für ein Malware-Betriebssystem-Update, das betrügerisch mit dem privaten Schlüssel des Herstellers signiert wurde: https://www.theregister.co.uk/2019/03/25/asus_software_update_utility_backdoor/

Laut Kaspersky Labs wurden ungefähr eine Million Asus-Laptops mit Shadowhammer infiziert, wobei ein Update korrekt signiert zu sein schien. Es ist nicht klar, ob dies die Firmware verändert hat, aber es hätte sicherlich funktionieren können.

12
emrys57

Ihre Frage deutet auf ein tieferes Thema hin, nämlich das Klingeln und die Berechtigung von Code auf einem Betriebssystem. Unter MS DOS kann der Code tun, was er will. Wenn der Code alle 0x00 auf eine Festplatte schreiben wollte, konnte er, wenn er seltsame Ausgaben an eine Hardware senden wollte, auch den Code des Benutzers nicht aufhalten. Auf einem modernen Betriebssystem gibt es ein Konzept von Ringen (dies wird von der CPU erzwungen). Der Kernel läuft auf Ring Null und kann tun, was er will. Der Benutzercode hingegen kann nicht. Es läuft auf etwas, das als Ring 3 bezeichnet wird, und es erhält ein eigenes kleines Stück Speicher. Innerhalb dieses Speichers kann es tun, was es will, aber es kann nicht direkt mit der Hardware kommunizieren. Wenn der Code des Benutzers versucht, mit der Hardware zu kommunizieren, beendet der Kernel das Programm sofort. Dies bedeutet, dass es höchst unwahrscheinlich ist, dass ein normaler Virus Hardware töten kann, da er nicht direkt mit ihm kommunizieren kann.

Wenn der Kernel gehackt wird, ist das Spiel im Grunde genommen vorbei. Der Kernel kann tun, was er will, und es kann eine ganze Reihe von schlechten Dingen passieren, z. B. das Übertakten der CPU bis zu einem Punkt, an dem die Hardware instabil ist, das Löschen der Festplatten (zum Beispiel das Füllen mit Nullen) oder so ziemlich jeder andere plausible Angriff .

4
scifi6546

Möglicherweise. Dies wäre jedoch schwierig, da es sich höchstwahrscheinlich irgendwann als legitimes BIOS-Update tarnen müsste. Die Methode dazu ändert sich je nach Mobo, aber es besteht die Möglichkeit, dass private oder Hardware-Schlüssel oder andere Geheimnisse verloren gehen.

3
520

Ja. Es ist hardwarespezifisch, aber hier ist ein Fall, in dem ein Benutzer versehentlich seine Motherboard-Firmware von der Betriebssystemebene abbricht https://github.com/systemd/systemd/issues/2402

Ein Fehler in der Firmware eines MSI-Laptops führte dazu, dass das Löschen der EFI-Variablen dazu führte, dass der Laptop unbrauchbar wurde. Da diese Variablen für das Betriebssystem verfügbar gemacht und als Datei bereitgestellt wurden, verursachte das Löschen jeder Datei auf Betriebssystemebene das Problem, das von einem Virus ausgenutzt werden konnte, um diese Variablen gezielt anzusprechen.

3
Qwertie

Es gibt viele Möglichkeiten, und einige davon sind beunruhigend. Zum Beispiel Computrace scheint eine permanente Hintertür zu sein , die nicht nur das Betriebssystem, sondern auch das BIOS umgehen kann. Im Allgemeinen hat die Intel Management Engine die volle Kontrolle über Ihren Computer und kann plausibel ausgenutzt werden. Diese können Ihr BIOS ändern, müssen es aber nicht. Erst im Jahr 2017 haben Sicherheitsforscher herausgefunden wie man den Intel IME über USB ausnutzt, um nicht signierten Code auszuführen .

Der Punkt ist, dass selbst wenn Sie ein vollständig sicheres Betriebssystem haben und niemals unsichere oder schädliche Software herunterladen, es immer noch eine nicht zu vernachlässigende Möglichkeit gibt, dass Sie von einer Malware betroffen sind, die all dies umgeht, indem Sie eine Sicherheitslücke in Ihrem System ausnutzen Hardware (auch wenn Ihr Computer angeblich ausgeschaltet ist).

1
user21820

Etwas, das ich hier gesehen habe:

Wenn der Angreifer eine ausreichende Berechtigung zum Installieren einer offiziellen UEFI-Firmware erhält, die vom Systemhersteller korrekt signiert wurde, kann er den Computer möglicherweise weiterhin in einem nicht bootfähigen Zustand belassen, indem er den Computer zu einem geeigneten Zeitpunkt während des Vorgangs zwangsweise ausschaltet.

Der Aktualisierungscode in modernen Firmwares versucht normalerweise, die Zeit zu minimieren, die der Computer in einem Zustand verbringt, in dem ein Stromausfall zu einer Beschädigung der Firmware führt, und einige Firmwares verfügen sogar über einen Wiederherstellungsmodus, der in einem solchen Fall aktiviert wird.

Viele dieser Systeme sind jedoch nicht vollständig kugelsicher. Obwohl sie einen guten Schutz gegen zufällige Stromausfälle bieten, kann ein zeitlich gut abgestimmtes Ausschalten sie dennoch zum Erliegen bringen, wenn die Firmware nicht über eine robuste automatische Wiederherstellungsfunktion verfügt.

Außerdem muss möglicherweise nicht einmal die Firmware des Hauptsystems angegriffen werden. Nahezu jedes Gerät in einem modernen PC verfügt über eine Firmware, von der viele per Software aktualisiert werden können. Diese Geräte sind auch oft weniger sicher. Sie akzeptieren möglicherweise nicht signierte Firmwares vollständig oder sind zumindest weniger widerstandsfähig gegen böswillige Abschaltungen während des Aktualisierungsprozesses.

Wenn Sie die Firmware auf dem Leistungscontroller, Speichercontroller, Speichergerät, Videogerät oder Eingabecontroller zerstören, ist das System möglicherweise genauso unbrauchbar, als hätten Sie das UEFI angegriffen.

0
Lily Finley