UEFI lässt sich über Word Dokument infizieren

F

Freakless08

Volt-Modder(in)
UEFI lässt sich über Word Dokument infizieren

Laut einem Artikel von Heise war es Sicherheitsforscher möglich, trotz aktuellem Windows, samt aktiviertem Secure Boot, Device Guard und Virtual Secure Mode, die UEFI Firmware zu infizieren.
Verwendet wurde hierbei auch ein aktuelles Gigabyte-Mainboard mit Intel Skylake CPU.
Durch das öffnen einer mit Makros und Powershell Befehlen gespickten Word Datei wurde im Hintergrund die Flash Software des Herstellers heruntergeladen sowie die Infizierte UEFI Firmware ausgewählt und automatisiert installiert. Selbst der Flash Schreibschutz wurde durch einen Exploit umgangen.
Nach einem Neustart des Systems war das System unbrauchbar.

BIOS/UEFI mit Ransomware infiziert | heise online
 
AW: UEFI lässt sich über Word Dokument infizieren

Mich wundert nur, das man einfach im Bios rumschreiben kann ohne Adminrechte zu brauchen. Weil das hätte man ja erst mal in der Benutzerkontensteuerung bestätigen müssen.

Da hilft wohl doch nur ein Linux.
 
AW: UEFI lässt sich über Word Dokument infizieren

Oder einfach nur erlauben das BIOS mit Diskette zu flashen ^^
 
AW: UEFI lässt sich über Word Dokument infizieren

Hier gilt dasselbe wie bei Ransomware: Wer E-Mail Anhänge unbekannter Herkunft öffnet und sogar noch Makros in MS Office erlaubt obwohl davon abgeraten wird, der ist selber schuld.
 
AW: UEFI lässt sich über Word Dokument infizieren

Das ist immer schnell daher gesagt.
Und was ist mit denen die aus beruflichen Gründen email-Anhänge von nicht bekannten Quellen öffnen müssen? Beispielsweise von potentiellen Kunden oder Bewerbern.
 
AW: UEFI lässt sich über Word Dokument infizieren

Makros deaktivieren.
Oder Libreoffice verwenden, da funktioniert das nicht.


PC-Bastler_2011 schrieb:
Funktioniert das auch bei/mit ner VM?
Zum Vergrößern anklicken....

Meinst du, dass der Code aus der VM ausbricht, oder dass das "Bios" der VM infiziert wird? Die meisten richtigen Schädlinge beenden sich in der VM nach dem Start direkt selbst, um eine Analyse zu verhindern.
 
AW: UEFI lässt sich über Word Dokument infizieren

amdahl schrieb:
Das ist immer schnell daher gesagt.
Und was ist mit denen die aus beruflichen Gründen email-Anhänge von nicht bekannten Quellen öffnen müssen? Beispielsweise von potentiellen Kunden oder Bewerbern.
Zum Vergrößern anklicken....
Wie DKK007 schon schrieb: Makros ausgeschaltet lassen. MS Office warnt sogar eindringlich davor Makros in Dokumenten mit unbekannter Herkunft zuzulassen! Spätestens zu dem Zeitpunkt sollten die Alarmglocken läuten. Bei ganz normalen Bewerbungen, Kostenvoranschlägen, Rechnungen etc. werden niemals Makros enthalten sein.
 
AW: UEFI lässt sich über Word Dokument infizieren

Hirn anschalten hilft immer...

Libre ist keine Alternative, sondern für mich persönlich immer eine Qual (kann sein das man damit vernünftig arbeiten kann, aber ich kanns jedenfalls nicht).

In einer mir bekannten Firma ist von amdahl geschilderter Vorfall tatsächlich passiert, da haben die einfach den Bewerbungs/ Sekräters PC vom kompletten Rest der Firma abgeschottet,
sodass dieser immer ganz leicht wiederhergestellt werden kann und nur die wichtigen Dateien dann seperat an den Server gehen
 
AW: UEFI lässt sich über Word Dokument infizieren

DKK007 schrieb:
Meinst du, dass der Code aus der VM ausbricht, oder dass das "Bios" der VM infiziert wird? Die meisten richtigen Schädlinge beenden sich in der VM nach dem Start direkt selbst, um eine Analyse zu verhindern.
Zum Vergrößern anklicken....

Genau das ist die Frage. Wenn es nicht funktioniert, also das der Virus sich in das richtige BIOS schreibt, dann ist die Lösung so simpel wie einfach :ugly:
 
AW: UEFI lässt sich über Word Dokument infizieren

Mich wundert eher, dass Microsoft an den Makro Kram noch festhält. :ka:
Einfach mal komplett entsorgen oder was besseres entwickeln.
 
AW: UEFI lässt sich über Word Dokument infizieren

Threshold schrieb:
Mich wundert eher, dass Microsoft an den Makro Kram noch festhält. :ka:
Einfach mal komplett entsorgen oder was besseres entwickeln.
Zum Vergrößern anklicken....

Oder das ganze in ne Sandbox packen und die Befehle zum Ausführen von Anwendungen deaktivieren. Ist ja bei Javascript genau das gleiche. Viele Sicherheitslücken wären nicht mehr ausnutzbar, wenn man keine Anwendungen damit ausführen könnte.

Mir fällt zumindest keine sinnvolle Anwendung für
Code: 
Shell("Programm.exe", 1)
in einem Dokument ein.

Schutz durch Speicherverwurfelung ASLR geknackt |
heise Security

PC-Bastler_2011 schrieb:
Genau das ist die Frage. Wenn es nicht funktioniert, also das der Virus sich in das richtige BIOS schreibt, dann ist die Lösung so simpel wie einfach
s000.gif
Zum Vergrößern anklicken....

Mich stört vor allem, das das einfach so ohne Adminrechte gehen soll.
In Unternehmen, sind viele Rechner mit einem geschützen Bios versehen, damit man den PC nicht einfach von einer CD bootet. Jedoch wäre das auch wirkungslos, wenn der Mitarbeiter vorher einfach ein anderes unklocked Bios aufspielt.
 
Zuletzt bearbeitet:
AW: UEFI lässt sich über Word Dokument infizieren

Unabhängig vom Pro&Contra von Makros finde ich es viel schlimmer, dass es via Windows überhaupt möglich ist, das UEFI zu beschreiben / zu zerstören.
 
AW: UEFI lässt sich über Word Dokument infizieren

Es ist dem unbedarften User ja auch nicht zuzumuten sich mit dem flashen des UEFI/BIOS zu befassen um dann seinen Rechner über einen USB Stick zu booten um von dort zu flashen. Deswegen musste man das ja unter Windows möglich machen.

Sent from the Sombrero Galaxy with Samsung Galaxy S6 and Tapatalk
 
AW: UEFI lässt sich über Word Dokument infizieren

Der unbedarfte Nutzer wird doch sowieso nie selbst ein neues Bios aufspielen.
 
AW: UEFI lässt sich über Word Dokument infizieren

Dann ersetzen wir unbedarfte User durch faule User.

Sent from the Sombrero Galaxy with Samsung Galaxy S6 and Tapatalk
 
AW: UEFI lässt sich über Word Dokument infizieren

DKK007 schrieb:
Der unbedarfte Nutzer wird doch sowieso nie selbst ein neues Bios aufspielen.
Zum Vergrößern anklicken....

Genau das ist das Problem. Ich sehe in Chats oft Leute die PC Probleme haben, sich mit dem PC ansich aber nicht gut auskennen. Wenn ich sie dann frage welches BIOS sie drauf haben, dann ist es nicht selten noch das Erste. Und viele von den trauen sich auch einfach nur nicht ins BIOS, aus Angst was kaputt zu machen. Oder sind eben zu Faul, wie Amon schon sagte.
EDIT: Ich glaube diese Leute sind die Zielgruppe dieses Featuers. Das wollte ich eigentlich damit sagen. :)

MfG
 
Zuletzt bearbeitet:
AW: UEFI lässt sich über Word Dokument infizieren

Wobei ich der Typ bin der auch nicht unbedingt das BIOS/UEFI neu machen muss, obwohl ich natürlich weiss wie es geht und es auch schon gemacht habe. ?

Sent from the Sombrero Galaxy with Samsung Galaxy S6 and Tapatalk
 
AW: UEFI lässt sich über Word Dokument infizieren

DKK007 schrieb:
Mich wundert nur, das man einfach im Bios rumschreiben kann ohne Adminrechte zu brauchen. Weil das hätte man ja erst mal in der Benutzerkontensteuerung bestätigen müssen.
Zum Vergrößern anklicken....
Quelle lesen Herr Kollege ;)
Dieser wiederum zog den BIOS-Updater des Mainboard-Herstellers aus dem Netz und installierte ihn. An dieser Stelle wäre es in der Realität aber knifflig geworden, da ein potentielles Opfer die Installation bestätigen muss.
Zum Vergrößern anklicken....
Und wiederum überhaupt die Rechte Programm zu installieren hat ein User bei korrekt konfigurierter Benutzerkontensteuerung überhaupt nicht.
Da diese "erst" seit Win7 anständige Rechteverwaltung bietet wird sie bei Windows leider immer noch gerne unterschlagen und Linux Userverwaltung als das "Allheilmittel" gesehen, dabei hat MS seit doch garnicht all zuu kurzer Zeit ein nicht gerade stumpfes Schwert eingebaut.
 
AW: UEFI lässt sich über Word Dokument infizieren

Olstyle schrieb:
Und wiederum überhaupt die Rechte Programm zu installieren hat ein User bei korrekt konfigurierter Benutzerkontensteuerung überhaupt nicht.
Zum Vergrößern anklicken....
:lol:Auf welche User soll das Zutreffen außer vll bei Firmen? Kenne keinen normalen Nutzer der einen eingeschränkten Account benutzt. Die rennen alle mit Adminrechte durch die Gegend und UAC wird sowieso weggedrückt, wird schon stimmen. :ugly:
Olstyle schrieb:
Da diese "erst" seit Win7 anständige Rechteverwaltung bietet wird sie bei Windows leider immer noch gerne unterschlagen und Linux Userverwaltung als das "Allheilmittel" gesehen, dabei hat MS seit doch garnicht all zuu kurzer Zeit ein nicht gerade stumpfes Schwert eingebaut.
Zum Vergrößern anklicken....
Blöd eben wenn es keiner nutzt weil jeder eben nur einen Account anlegt, und dieser ist eben automatisch Admin. Bei der Umsetzung mit mehreren Accounts und der für normale Nutzer nicht wirkliche Aufklärung/bzw. nichtverhinderung der Trennung von Admin und Nutzer ist das jedenfalls ein stumpfes Holzschwert.
 
Zuletzt bearbeitet:
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Incredible Alk
Blog Alkis Blog #48 - Der Backup Blog
Antworten
10
Aufrufe
4K
roheed
roheed
G
Gute Sicherheits Software ohne Antivirus
Antworten
1
Aufrufe
932
D0pefish
D0pefish
Research
Zero-Day in Adobe Flash aktiv im Umlauf, Update, UPDATE, UPDATE! Neue Lücke 02.02.
2
Antworten
34
Aufrufe
13K
maCque
M
H
Asus Z170 pro gaming Probleme/RMA und Support-Fachidioten
2
Antworten
22
Aufrufe
7K
Hypnotika
H
D
System sehr langsam, bzw. mega Ruckler in Spiele
2
Antworten
29
Aufrufe
3K
Diggiman1982
D
Oben Unten
Zurück