UEFI ist die Abkürzung für Unified Extensible Firmware Interface. Dies ist eine Technologie, die häufig von modernen Computern verwendet wird. Sobald jedoch eine Schwachstelle in dieser zugrunde liegenden Technologie auftritt, ist diese ebenfalls sehr schlimm, da über UEFI implantierte Hintertüren nicht leicht zu erkennen oder zu entfernen sind. Kürzlich entdeckten Forscher neun Schwachstellen in der UEFI-Firmware von fünf Anbietern. Diese Schwachstellen werden von den Forschern zusammenfassend als PixieFail bezeichnet. Selbst Benutzer mit geringen Berechtigungen können die Schwachstellen ausnutzen, um Angriffe zu starten.
Ein erfolgreicher Hacker wäre in der Lage, bösartige Firmware zu installieren, die Malware ausführt, bevor das Betriebssystem startet. Diese Schwachstelle betrifft jedoch hauptsächlich Unternehmen und Rechenzentren.
IPv6-basierter PXE-Boot:
PXE ist eine Methode, mit der Unternehmen eine große Anzahl von Geräten starten. PXE speichert das Betriebssystem nicht auf dem Gerät. Stattdessen wird das Systemabbild auf dem Bootserver gespeichert. Das Endgerät stellt über PXE eine Verbindung zum Bootserver her, um das Betriebssystem zu starten.
PXE wurde speziell für Benutzerfreundlichkeit, Konsistenz und Qualitätssicherung in Rechenzentren und Cloud-Umgebungen entwickelt. IT-Administratoren können damit Betriebssysteme stapelweise aktualisieren, konfigurieren und starten.
Die diesmal aufgetretene Sicherheitslücke liegt in PXE. Wenn die IPv6-Verbindung zum Starten des Servers konfiguriert wurde, kann der Angreifer die Schwachstelle ausnutzen, um ein bösartiges Firmware-Image anstelle des vom IT-Administrator konfigurierten Firmware-Images herunterzuladen.
Sobald Malware in UEFI implantiert wird, kann sie hartnäckig bleiben, da herkömmliche Sicherheitssoftware möglicherweise nicht erkennt, dass das UEFI infiziert ist, oder sie möglicherweise nicht entfernen kann, nachdem sie erkannt wurde.
Forscher sagen:
Der Angreifer benötigt keinen physischen Zugriff auf das Endgerät und den Bootserver. Der Angreifer muss lediglich in der Lage sein, auf das Netzwerk zuzugreifen, in dem diese Systeme ausgeführt werden, und mit Tools zusammenzuarbeiten, um Datenpakete abzufangen und diese dann einzuschleusen und zu übertragen.
Einige dieser Schwachstellen können dadurch ausgelöst werden, dass ein Angreifer beim Hochfahren des Endgeräts in der Anforderungsantwort schädliche Pakete an den Client sendet.
PXE und IPv6 deaktivieren:
Eine einfachere Möglichkeit, diese Schwachstelle zu verhindern, besteht darin, den PXE-Start und IPv6 direkt zu deaktivieren. Die meisten Heimanwender nutzen PXE grundsätzlich nicht und können daher direkt deaktiviert werden.
Darüber hinaus betrifft diese Schwachstelle nur Boot-Server, die über IPv6 verbunden sind. Wenn ein Unternehmen oder ein Rechenzentrum IPv4-Verbindungen verwendet, ist dies nicht betroffen.
Fehler beheben:
Derzeit produzieren UEFI-Firmware-Anbieter sukzessive neue Firmware-Versionen und verteilen diese an Kunden. Beispielsweise hat AMI bestätigt, dass die Schwachstelle die Firmware der OptioV-Serie betrifft, und hat derzeit eine neue Firmware-Version erstellt und an Kunden verteilt.
Andere Firmware-Anbieter aktualisieren ihre Firmware noch. Zu den betroffenen Firmware-Anbietern gehören: ArmLtd., Insyde, AMI, Phoenix Technologies und Microsoft.
Antwort von Microsoft:
Microsoft sagte, das Unternehmen ergreife geeignete Maßnahmen, gab den konkreten Inhalt der Maßnahmen jedoch nicht bekannt. Gleichzeitig gab Microsoft fälschlicherweise an, dass der Angreifer auch einen bösartigen Server im Unternehmensintranet einrichten müsste, doch Forscher sagten, dies sei nicht erforderlich.
Abschließend empfiehlt Microsoft auch, dass Sie PXE oder andere Protokolle deaktivieren sollten, wenn Sie sie nicht verwenden. Wenn Sie sie nutzen möchten, sollten Sie außerdem das TLS-Verschlüsselungsprotokoll konfigurieren, das Angreifer daran hindern kann, Man-in-the-Middle-Hijacking durchzuführen.