Sicherheitslücke macht ältere Intel-CPUs für Rootkits verwundbar

SicherheitVirus
Intel Zentrale (Bild: Ben Fox Rubin/CNET) schließenBild: Ben Fox Rubin/CNET)

Die Anfälligkeit betrifft zwischen den Jahren 1997 und 2010 herausgebrachte Prozessoren. Diese ermöglichen das Einspielen von Malware in einem geschützten Bereich, der normalerweise die Sicherheit auf Firmware-Ebene kontrolliert. Auch Security-Funktionen wie UEFI Secure Boot werden dadurch nutzlos.

Der Sicherheitsexperte Chris Domas hat eine Schwachstelle gefunden, die zwischen 1997 und 2010 herausgebrachte Intel-CPUs für Rootkits verwundbar macht. Das Leck findet sich in der x86-Architektur. Es ermöglicht die Installation von Software in einem geschützten Bereich des Chips, welcher System Management Mode (SMM) genannt wird und die Sicherheit auf der Firmware-Ebene kontrolliert.

Eine entsprechende auf die Firmware-Ebene ausgerichtete Attacke können Antivirenprogramme jedoch nicht erkennen. Darüber hinaus ist weder eine Formatierung der Festplatte noch eine Neuinstallation des Betriebssystems zur Bekämpfung einer derartigen Malware hilfreich. Beispielcode für einen Angriff zeigte Domas letzte Woche auf der Black-Hat-Konferenz, wie Computerworld berichtet.

Ein im SMM eingespieltes Rootkit ist laut dem Bericht in der Lage, das UEFI-BIOS zu löschen. Sicherheitsfunktionen wie Secure Boot, die eigentlich das Ausführen von Schadsoftware beim Start des Betriebssystems verhindern sollen, sind wirkungslos, da sie von dem zuvor kompromittierten Secure Management Mode abhängig sind.

Ob auch AMD-Prozessoren betroffen sind, ist nicht bekannt. Domas hat eigenen Angaben zufolge ausschließlich Chips von Intel getestet und dabei herausgefunden, dass CPUs ab der 2011 eingeführten Sandy-Bridge-Generation nicht für die Lücke anfällig sind.

Um das Prozessorleck tatsächlich ausnutzen zu können, benötigt ein Angreifer allerdings einen direkten Zugang zu einem PC. Gegebenenfalls ist es hierbei aber auch ausreichend, eine andere Malware mit Kernel- oder Systemrechten einzuschleusen, die dann die Installation des Rootkits ermöglicht.

Intel sei über das Problem informiert, sagte Domas gegenüber Computerworld. Der Chiphersteller stelle auch Firmware-Updates für ältere Prozessoren bereit, allerdings sei es nicht möglich, den Fehler bei allen alten CPUs zu beheben.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen