Immer wieder finden gewiefte Hacker Sicherheitslücken in Betriebssysteme, die sich für gefährliche Angriffe nutzen lassen. Trotz der oft großen Zugangsmöglichkeit, etwa wenn es gelingt, Administratorenrechte zu erlangen, gibt es aber ein noch viel attraktiveres Ziel: Das BIOS. Doch die Kompromittierung dieser grundlegenden Steuersoftware für den Rechner war lange zumeist Spezialisten vorbehalten und wurde unter anderem durch die NSA betrieben.

Das BIOS (kurz für "Basic Input/Output System") ist unter anderem dafür zuständig, das Laden des eigentlichen Betriebssystems zu ermöglichen. Es operiert auf sehr tiefem Level, außerhalb der Reichweite zahlreicher Sicherheitsmechanismen wie etwa Antivirensoftware. Schleust man hier Malware ein, so kann diese unentdeckt operieren und bleibt auch aktiv, wenn der Nutzer seine Festplatte formatiert. Denn das BIOS sitzt in einem eigenen Speicher auf dem Motherboard.

LightEater macht Tails verwundbar

Zwei Sicherheitsforscher haben nun auf der CanSecWest-Konferenz gezeigt, wie sich mit einer einzigen Attacke das BIOS mehrerer Rechner aus der Ferne infizieren lässt. Dazu machten sie sich mit einer selbst entwickelten Malware namens "LightEater" mehrere Schwachstellen zunutze, die sie binnen weniger Stunden entdeckten, schreibt Wired.

Davon ausgehend gelang es ihnen, selbst die Sicherheit von an sich kaum verwundbaren Systemen wie der Linux-Distribution Tails auszuhebeln, die etwa von Edward Snowden für sichere Kommunikation empfohlen wird. Sie gelangten durch ihre Malware in den "System Management Mode", der noch mächtiger ist als Administratoren- oder Root-Zugang.

Von dort aus spielten sie eine um Schadfunktionen angereicherte Version des BIOS ein und nutzten selbige, um jene Inhalte aus dem Arbeitsspeicher auszulesen, die Tails dort temporär hinterlegt und beim Beenden löscht. Während man im System Management Mode Zugriff auf den normalen Arbeitsspeicher-Bereich hat, kann niemand auf den von ihm genutzten Speicher zugreifen. Die Schlussfolgerung: Gelingt es etwa der NSA, das BIOS eines Rechners zu infizieren, kann auch Tails nicht mehr für sicheren Informationsaustausch bürgen.

Problematische Hersteller-Politik, updatefaule User

Das große Problem: Mittlerweile gibt es fertige Tools, die aus der Ferne BIOS-Manipulationen durchführen können. Hinzu kommt, dass sich viele BIOS-Varianten große Teile des Codes teilen und daher auch "gemeinsam" von zahlreichen Schwachstellen betroffen sind. In Summe bedeutet dies, dass Millionen Rechner potenziell gefährdet sind.

Die Forscher haben ihre Funde an die Hersteller weitergeleitet, an Patches wird bereits gearbeitet. Dass Unternehmen BIOS-Updates für ihre Geräte herausgeben ist an sich auch nichts ungewöhnliches, weil über etwaige Schwächen und Angriffe aber kaum berichtet wird, finden sicherheitsbedingte Aktualisierungen aber nur selten statt. Und selbst diese werden laut den Wissenschaftlern nur von den wenigsten Nutzern eingespielt. (gpi, derStandard.at, 23.03.2015)