Angriff auf Dell-Firmware nach Tiefschlaf

Nach dem Aufwachen aus dem Standby vergisst die Firmware einiger Dell-Rechner, sich selbst vor Schreibzugriffen zu schützen. So könnten Angreifer Schadcode in die Firmware schleusen.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Dell

(Bild: dpa, Kay Nietfeld)

Lesezeit: 1 Min.

Normalerweise ist die Firmware eines Computers vor Schreibzugriffen geschützt. Das wird unter anderem durch ein gesetztes BIOSLE-Bit im BIOS_CNTL-Register der Firmware gewährleistet. Da dieses aber beim Einschalten oder bei einem Reset erst einmal auf 0 steht, muss das BIOS selbst dafür Sorge tragen, den Schreibschutz zu aktivieren. Das geschieht beispielsweise beim Einschalten, sollte aber auch nach dem Aufwachen aus dem Ruhezustand passieren. Genau dies versäumt die Firmware diverser Dell-Rechner.

Angreifer müssten bei dieser Schwachstelle (CVE-2015-2890) also nur kurz den Computer schlafen legen und wieder wecken. Dann könnten sie über die UEFI-Konsole eigenen Code in die Firmware einschleusen.

Nach derzeitigem Kenntnisstand sind Geräte aus den Jahren 2010 und 2011 der Serien Latitude, OptiPlex, Precision Workstation und Precision Mobile Workstation betroffen (siehe Auflistung beim CERT der Carnegie-Mellon-Universität). Dell bietet auf seiner Support-Website bereits BIOS-Updates an. Nutzern dieser Geräte ist eine Aktualisierung dringend angeraten.

Unlängst hatte eine EFI-Lücke Firmware-Modifikation beim Mac erlaubt. Apple hat aber bereits ein Mac-Sicherheits-Update geliefert, das Firmware-Manipulation verhindern soll. Es betraf das EFI-BIOS älterer Apple-Geräte. Ob auch Geräte anderer Hersteller betroffen sind, ist bislang nicht bekannt. (wre)