BadUSB: Sicherheitsforscher entdecken kritische Lücke in USB-Geräten

SicherheitWorkspaceZubehör
Skull Crossbones USB (Bild: ZDNet.com)

Die Forscher haben ein Tool entwickelt, mit dem die Gerätesoftware von USB-Controllern manipuliert werden kann. Auf diese Weise kann ein USB-Stick eine Tastatur emulieren und beliebige Eingaben tätigen. Solche Manipulationen kann gängige Sicherheitssoftware nicht entdecken.

Die deutschen Sicherheitsforscher Karsten Nohl und Jakob Lell vom Berliner Unternehmen SR Labs haben eine Software entwickelt, um die Firmware von USB-Controllern in Peripheriegeräten zu verändern. Demnach sei die Gerätesoftware nicht vor einer Neuprogrammierung gesichert, so die Forscher. Die Software trägt den Namen BadUSB und kann beliebige USB-Geräte inklusive Speichersticks in ein Hacking-Tool verwandeln. Mit diesem lässt sich nahezu jeder Computer kompromittieren.

Skull Crossbones USB (Bild: ZDNet.com)

Ein USB-Gerät mit veränderter Firmware kann auf diese Weise zum Beispiel eine Tastatur emulieren. Somit ist es in der Lage, im Namen eines angemeldeten Nutzers beliebige Eingaben vorzunehmen. Angreifer können so Daten auslesen und Schadsoftware installieren. Darüber hinaus bestehe die Möglichkeit, dass der manipulierte Code sogar die Controller-Chips anderer, an einen PC angeschlossenen USB-Geräte infiziere.

Den Forschern zufolge kann ein USB-Gerät auch DNS-Einstellungen verändern und sämtlichen Traffic des Computers umleiten, da es sich auch als Netzwerkgerät ausgeben könne. Zudem sei ein Speicherstick oder eine externe Festplatte in der Lage, einen Virus während des Bootvorgangs auszuführen und das Betriebssystem des Rechners bereits vor dem Start zu kompromittieren.

Gegen solche Angriffe gebe es bislang keine wirksamen Schutzmaßnahmen, so Nohl und Lell: “Malware-Scanner können nicht auf die Firmware eines USB-Geräts zugreifen. Eine USB-Firewall, die bestimmte Geräteklassen blockiert, gibt es bisher nicht. Eine verhaltensbasierte Erkennung ist schwierig, da es so aussieht, als hätte der Nutzer ein anderes USB-Gerät angeschlossen, wenn ein BadUSB-Gerät seine Rolle ändert.”

Eine Neuinstallation des Betriebssystems bei einer Infektion über ein Bad-USB-Gerät reicht den beiden Forschern zufolge nicht aus. Das manipulierte USB-Gerät habe nämlich höchstwahrscheinlich bereits alle anderen angeschlossenen Geräte wie Webcams ebenfalls infiziert oder sogar das BIOS des Computers ersetzt. Letzteres sei auch durch die Emulation einer Tastatur in Verbindung mit einer auf einem Speicherstick versteckten Datei möglich. “Einmal infiziert, kann einem Computer und seinen USB-Peripheriegeräten nie mehr vertraut werden”, heißt es auf der Website von SR Labs.

Die möglichen Lösungen für dieses Problem lassen sich bislang nur langfristig umsetzen. Ihre Firmware müssten Hersteller von USB-Controllern so absichern, dass keine Möglichkeit besteht, sie zu modifizieren. Darüber hinaus könnten Sicherheitsfirmen Programme entwickeln, die unerlaubte Änderungen der Firmware eines USB-Geräts erkennen.

Nohl und Lell wollen weitere Details ihrer Untersuchung und zu BadUSB auf der Hackerkonferenz Black Hat vorstellen, die vom 2. bis 7. August in Las Vegas stattfindet. Sie werden anschließend auch ein Proof-of-Concept für die Sicherheitslücke veröffentlichen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit USB aus? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.