Pwn2Own

BIOS-Sicherheitslücke gefährdet Millionen PCs

Im Rahmen des Hackerwettbewerbs Pwn2Own zeigten Forscher ein Verfahren, mit dem das Computer-BIOS kompromittiert werden konnte. Millionen von Geräten sind gefährdet.

© Sergey Nivens - Fotolia.com

Schwachstellen im BIOS machen Millionen von PCs zur Zielscheibe.

Zwei Sicherheitsforscher präsentierten im Rahmen des Hackerwettbewerbs Pwn2Own schwerwiegende Sicherheitslücken in den gängigen BIOS-Versionen, berichtet das IT-Magazin Wired. Laut den Entdeckern Xeno Kovah und Corey Kallenberg seien nur "mittelmäßige" Hacking-Kenntnisse notwendig, um Millionen von Geräten zu kompromittieren.

Dadurch, dass ein BIOS bereits aktiv wird, bevor eine installierte Antiviren- oder Sicherheitssoftware eingreift, kann die Malware auch nach etwaiger Formatierung und Neuinstallation des Betriebssystems noch funktionstüchtig sein.

Die Anfälligkeiten wurden laut Kovah und Kallenberg innerhalb weniger Stunden entdeckt. Ihre "LightEater" getaufte Malware konnte sogar mit vollständigen System-Rechten ausgestattet werden, was es den Forschern erlaubte, auch als sicher geltende Betriebssysteme wie die Linux-Distribution Tails auszuhebeln.

Die Kompromittierung des BIOS kann über zwei Methoden realisiert werden. Denkbar wären eine Phishing-E-Mail oder die direkte Interaktion mit dem Gerät. Sollte der direkte Zugriff möglich sein, können Kovah und Kallenberg nach eigenen Angaben innerhalb von zwei Minuten das BIOS infizieren.

Problematisch ist die markenunabhängige Anfälligkeit des BIOS. Die meisten Versionen eines solchen Systems basieren auf demselben Code, sodass es den beiden Sicherheitsforschern gelang, mehr als 80 Prozent der von ihnen untersuchten Systeme zu knacken. Unter anderem konnten PCs von Dell, Lenovo und Hewlett-Packard erfolgreich infiziert werden. Zudem seien die Lücken so einfach zu finden gewesen, dass sie schlussendlich ein Skript zur Identifizierung eines kompromittierbaren BIOS entwickelt hätten.

Mehr zum Thema

Abmahnungen können drohen

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…
Ende-zu-Ende-Verschlüsselung

Neue Tools, Dienste und Apps verschlüsseln das Chatten, E-Mails und Telefonieren. Die Basis dafür ist strikte Ende-zu-Ende-Verschlüsselung.
Lehrerstreich in den USA

Ein US-Schüler wanderte ins Gefängnis, weil er das Wallpaper eines Lehrers geändert hat. Welche weiteren Strafen auf den Jugendlichen warten, ist…
Firefox, Chrome & Internet Explorer

Die richtigen Einstellungen und Add-ons machen die Browser Chrome, Firefox und Internet Explorer sicherer. Wir haben zehn Sicherheits-Tipps.
Software & Lösungen für NAS-Backups

Mit der NAS automatisieren Sie Backups im Heimnetz - Wir haben Lösungen für NAS zu NAS, Windows-PC / -Laptop zu NAS und auch Smartphone zu NAS.