CanSecWest
BIOS-Rootkit überlebt Festplattenaustausch
Auf der Sicherheitskonferenz CanSecWest haben Forscher einen Malware-Angriff auf BIOS-Ebene demonstriert, der sogar den Austausch der Festplatte überleben würde. Antivirus-Software kann da auch nichts ausrichten.
In der letzten Woche fand im kanadischen Vancouver die jährliche Sicherheitskonferenz CanSecWest statt. Im Rahmen der Konferenz sind nicht nur Sicherheitslücken in mehreren Web-Browsern offenbart worden. Argentinische Sicherheitsforscher haben einen Prototypen eines BIOS-Rootkits vorgestellt. Es nistet sich im Flash-Speicher auf der Hauptplatine des Rechners ein und kann so nicht nur das Formatieren der Festplatte oder deren Austausch überleben.
Anibal Sacco und Alfredo Ortega von Core Security Technologies haben ihren Angriff aus das Rechner-BIOS in einem Vortrag mit dem Titel "Persistent BIOS Infection" demonstriert. Sie haben gezeigt, dass dazu nicht notwendigerweise ein Windows-Rechner gebraucht wird, auch unter OpenBSD funktioniert die Methode. Ein voll funktionsfähiges Rootkit haben die beiden allerdings noch nicht.
Das sei jedoch kein Problem, meinen die beiden Forscher. Zwar seien Administrator- oder Systemrechte erforderlich, um den BIOS-Patch zu installieren, dies sei jedoch mit einem modifizierten Gerätetreiber machbar. Sie hätten sogar bereits Programm-Code der Antivirus-Lösungen deaktivieren oder entfernen könne.
Da das Rootkit in einem Chip auf der Hauptplatine gespeichert ist, bringt es auch nichts die Festplatte zu formatieren oder sie durch eine fabrikneue zu ersetzen. Das infizierte BIOS kann bei jedem Neustart des Rechner die Infektion der Festplatte erneuern. Schutz vor einem solchen Angriff bietet jedoch ein Schreibschutz-Jumper auf der Hauptplatine, der nur vor dem Einspielen eines BIOS-Updates vorübergehend umgesteckt oder entfernt wird - wenn überhaupt.
