[Update: Asus & Asrock] Extreme Privilege Escalation: UEFI mit schwerwiegenden Sicherheitslücken unter Windows 8
Unter der Bezeichnung Extreme Privilege Escalation wurden nun von Forschern der Mitre Corporation zwei schwerwiegende Sicherheitslücken in UEFI bekanntgemacht. Betroffen ist das Referenzdesign von Intel, das zahlreiche andere Anbieter als Basis verwenden.
Update vom 30.10.2014
Mittlerweile gibt es auch eine Aussage von Asus und Asrock. Bei Asus sind nur die X99-Boards betroffen, die einen entsprechenden Patch laut Asus aber schon vor der Auslieferung in den Handel bekommen haben. Mainboards vor der X99-Generation sind nicht betroffen, da eine andere Update-Routine verwendet wird.
Bei Asrock ist nach Aussage des Unternehmens gegenüber PC Games Hardware keines der Mainboards betroffen, da auch hier eine andere Implementierung für Updates verwendet wird.
Update vom 29.10.2014
Auf Nachfrage von PC Games Hardware hat MSI bestätigt, dass die eigenen Mainboards nicht betroffen sind. Das Unternehmen verwendet ein Update-System von AMI anstatt des als problematisch eingestuften Systems von Intel. "MSI motherboards are not affected by the recent discovery of vulnerabilities in the latest UEFI BIOS code. MSI uses the AMI update standard instead of the affected UEFI Capsule updating mechanism", so die Auskunft.
Original-Artikel vom 23.10.2014
Forscher der Mitre-Corporation haben zwei gefährliche Sicherheitslücken im UEFI entdeckt, die unter Windows 8 von Angreifern ausgenutzt werden kann. Das Problem wird von den Entdeckern als Extreme Privilege Escalation betitelt und ist seit Längerem bekannt. Betroffen ist die Referenz-Version des UEFI von Intel, das viele Anbieter als Basis für ihr eigenes UEFI verwenden.
Obwohl die Sicherheitslücke schon länger bekannt ist, haben die Forscher diese aus Sicherheitsgründen jetzt erst öffentlich gemacht. Die Schwachstellen sind als CVE-2014-4859 und CVE-2014-4860 dokumentiert und finden sich in der Update-Funktion des UEFI, auf die Windows 8 Zugriff nehmen kann. Angreifer können über CapsuleUpdateData an zwei Stellen sogenannte Integer Overflows provizieren, die dann Zugriff auf den Speicherbereich erlauben. Über diesen lässt sich bis zum Bootloader vordringen, wo Schadcode ohne Signatur eingeschleust werden kann. Ein dort installiertes Rootkit etwa wäre für Windows 8 nicht sichtbar.
Intel hat seine UEFI bereits aktualisiert und bietet Updates für Server-Mainboards, NUC und Galileo an. Der Komplettsystem-Anbieter Hewlett Packard bietet für 1.500 Systemreihen UEFI-Updates an. Bei Lenovo sind ebenfalls einige Systeme betroffen, für die es Updates gibt. Bei Dell liegt die Sicherheitslücke nicht vor. Problematisch ist allerdings die Situation bei den Mainboard-Herstellern, die direkt an die Endkunden verkaufen. Hier liegen derzeit keine Informationen über den Stand vor.
Betroffen sind Acer (Systeme), Asus (Systeme und Mainboards), Asrock (Mainboards), ECS (Mainboards), Foxconn (Mainboards) Fujitsu (Systeme und Mainboards), Gigabyte (Systeme und Mainboards), MSI (Systeme und Mainboards), Supermicro (Mainboards) und Tyan (Mainboards). Natürlich sind auch kleinere Hersteller wie EVGA bei den Mainboards unter Umständen betroffen. Die Gefahr ist nicht zu unterschätzen, da mittlerweile auch US-CERT und DHS vor der Sicherheitslücke warnen. Laut Informationen von Asus Deutschland, die uns vorlieren, ist bei den Asus-X99-Boards der Fix bereits implementiert. An den übrigen Boards werde aktuell gearbeitet.
Es ist daher grundsätzlich anzuraten, das UEFI sofern möglich auf den aktuellen Stand zu bringen. Dazu muss die Produktseite beim jeweiligen Hersteller aufgesucht werden und die neueste Version heruntergeladen und installiert werden. Seien Sie dabei aber vorsichtig. Auch wenn solche Firmware-Updates heutzutage nur selten Probleme machen, kann es doch zu Komplikationen und einem unbrauchbaren Mainboard führen. Achten Sie deshalb peinlich genau auf die Herstelleranweisungen.
Gut das ich damals mich für Asrock entschieden habe,den ich jetzt noch nutzte(P67 Board Extrem4) und das Board ist auch kompatibel mit Win8 und UEFI scheint von der Sicherheitslücke nach aussage von Asrock nicht betroffen zu sein.Das heißt ich könnte(theoretisch) das Board auch bei Win 10 noch nutzen weil das ein abkömling von Win 8 ist.Von den Treiber her hat sich nicht viel geändert.Muß meine PC noch ne weile am Leben halten bis Skaylake-Plattform erscheint.
Und nochmal, Leute ohne SecureBoot und Win8, oder solche, die dies nicht als nennenswerten Sicherheitsgewinn sehen, haben durch den Bug sowieso keinen Nachteil.
Bitte das heutige Update beachten:
Laut eigenen Aussagen haben drei von vier großen Herstellern keine betroffenen Mainboards am Markt. (Bei Gigabyte warte ich noch auf eine Antwort.) Es besteht also weder für Besitzer alter, noch für Käufer neuer Boards ein Grund, in Panik zu verfallen.
FU.. ich war fast soweit auf X99 zu wechseln
Ist bei einigen Herstellern halt echt beschissen: um den Verkauf von neuem Zeug voranzutreiben, wird der Support für älteres einfach recht früh mal eingestellt. Sah es schon bei meinem P7P55D: da war auch recht schnell mal nix mehr mit Updates, ein offizieller Support für Win 8 gab es nicht mal... Tja, ob dies ne gute Firmenpolitik ist, muss jeder für sich entscheiden.