NewsSecurity

Wave integriert MITRE-Zertifizierung gegen BIOS-Angriffe in Endpoint-Monitor

Wave Systems kündigt Pläne zur Integration der neuen timing-basierten MITRE-Zertifizierungstechnik in den Wave Endpoint Monitor (WEM) an. WEM ist eine Lösung, die Standard-Hardware nutzt, um Malware zu erkennen und zu beseitigen, die heimlich Angriffe starten kann, noch bevor das Betriebssystem lädt. Die MITRE Corporation stellt eine gemeinnützige Organisation dar, die Forschungsinstituten im Auftrag der Vereinigten Staaten betreibt. Sie liefert Systemtechnik, Forschung und Entwicklung sowie Support an die amerikanische Regierung.

Die MITRE-Technologie überprüft zweifach, dass das Kern-BIOS nicht beschädigt wurde. Die BIOS-Software wird als erstes vom PC ausgeführt, wenn er eingeschaltet wird. Sie ist für die Initialisierung der Hardware und das Hochfahren des Betriebssystems verantwortlich. Das BIOS enthält auch die “Core Root of Trust Measurement” (CRTM)-Software. Sie ist die erste Software in der Boot-Vertrauenskette und gewährleistet das sichere Booten des Computers.

“MITRE leistet einen bedeutenden Beitrag zur Forschung, indem es ein Szenario identifiziert hat, bei dem schadhafte Codes in das BIOS eingeführt werden könnten. Dort könnten sie dazu führen, dass dieses ein false reading angibt und fälschlicherweise ausweist, das System sei nicht beschädigt,” so Dr. Robert Thibadeau, Chief Scientist bei Wave. “MITREs Technologie liefert eine zweite Kontrolle um sicher zu stellen, dass das CRTM weder über sich selbst, noch über den Rest der Vertrauenskette lügt.”

Dr. Thibadeau fügt hinzu: “BIOS-Angriffe sind heutzutage zwar noch relativ selten – vielen Berichten zufolge beläuft sich ihre Zahl auf weniger als ein Prozent – aber sie sind ein neuer und gefährlicher Angriffsvektor, der uns in den nächsten Jahren sicherlich öfter begegnen wird.” Das Management der CRTM-Erkennung wird in ein Modul für WEM eingebaut werden, das nach Waves Erwartung Anfang 2014 produktionsreif sein wird, um dem erwarteten Anstieg der Zahl dieser Angriffe entgegenzutreten. Der Wave Endpoint-Monitor bietet verifizierbare PC-Sauberkeit und Sicherheit, indem er die im TPM gespeicherte Informationen nutzt. Sobald Anomalien entdeckt werden, wird der Angriff eingedämmt und die IT mittels Echtzeit-Analysen alarmiert.

Die MITRE-Forscher John Butterworth, Corey Kallenberg und Xeno Kovah stellten bei der Black Hat 2013 ihre Forschung zu dieser Schwachstelle und die Anfälligkeit der Technik in Ihrem Beitrag “BIOS Chronomancy: Fixing the Core Root of Trust for Measurement” vor. Die Forschung des Teams weist auf eine Anfälligkeit hin, bei der ein Firmware-Rootkit den Chip des Trusted Platform Modules (TPM) eines Endpoints dazu bringt, eine saubere BIOS-Firmware auszuweisen, obwohl sie in Wirklichkeit beschädigt ist. Die Forschung von MITRE zeigt die Bedeutung der Nutzung timing-basierter Attestation-Systeme, die vor Angreifern schützen können, die die gleichen Privilegstufen erlangen konnten, wie der Verteidiger. John Butterworth, ein leitender Infosec-Techniker bei MITRE, fügt hinzu: “Einem Angreifer, der versucht ein Rootkit bei vorhandener timing-basierter Attestierung zu verstecken, wird das Vorgehen erschwert. Auch das Verstecken eines einzigen veränderten Bytes löst eine messbare Veränderung aus.”

Die Ergebnisse des Teams entstanden durch die Bemühungen der Anbieter, BIOS-Schutzspezifikationen einzuführen. Diese werden in der vom National Institute of Standards and Technology (NIST) 2011 herausgegebenen Sonderveröffentlichung 800-155 dargelegt.

Weitere Informationen: www.wave.com

[subscribe2]