UEFI hat einige Vorteile gegenüber seinem Vorgänger, dem klassischen BIOS. Dazu zählen die Unterstützung von 64-Bit-Systemen, der Umgang mit großen Partitionen und Festplatten und eine größere Zahl an primären Partitionen. Außerdem können Nutzer meist aus mehreren Sprachen auswählen, und es lässt sich im Gegensatz zum BIOS mit der Maus bedienen. Oft praktisch, aber aus Sicht der IT-Security knifflig ist, dass UEFI Netzwerkkomponenten unterstützt und so Updates direkt über das Betriebssystem sowie per Fernwar-tung bekommen kann. Unübersichtlich wird es, weil im Rahmen der Vorgaben von AMD und Intel jeder Mainboard-Anbieter die Oberfläche und die Menüpunkte an seine Geräte anpassen kann.
Vor Malware und Rootkits soll die Funktion Secure Boot schützen. Sie soll auch das Einschleusen unsignierter und möglicherweise unzuverlässiger Software verhindern. Secure Boot hat allerdings auch Nachteile: Dass lediglich signierte Software ausgeführt wird, macht in der Praxis in Firmen Probleme, weil dadurch ungewöhnliche, aber erwünschte Software ausgebremst wird. Daher wird Secure Boot oft deaktiviert.
Häufung von UEFI-Problemen
Das kann unangenehme Folgen haben. Zwar sind Angriffe auf UEFI-Ebene noch vergleichsweise selten, werden aber immer häufiger. Im Oktober 2021 warnte Eset etwa vor "ESPecter". Die Malware nistet sich in der EFI-Systempartition (ESP) ein. Das UEFI-Bootkit umgeht die Windows-Treibersignatur und kann eigene unsignierte Treiber laden. "Wir konnten die Wurzeln von ESPecter bis 2012 zurückverfolgen", sagt Eset-Experte Anton Cherepanov, der die Malware zusammen mit seinem Kollegen Martin Smolár entdeckt hat.
"Seit Jahren wissen wir, dass Cyberkriminelle Schwachstellen im gesamten Stapel der Computer-Architektur ausnutzen: von Software-Plug-ins über Programme, Betriebssysteme, Firmware bis hin zu Schwachstellen im Microcode von Hardware - spätestens seit Spectre und Meltdown", sagt Martin Stecher, Chief Architect beim Anbieter Skyhigh Security.
"Bislang galt: Je weiter unten im Stapel ein Angriff ansetzt, desto schwieriger ist er zu entwickeln. Aber dann gilt auch, dass er schwerer zu entdecken und abzuwehren ist. Die Häufung von Problemen im UEFI-Bereich wirft für uns die Frage auf, ob es die Ent-wickler und Hersteller den Angreifern zu einfach machen, diese tieferen Schichten zu infiltrieren und dadurch ein attraktives Ziel abgeben", so Stecher weiter. Diese Frage will er nicht selbst beantworten, die Entwicklung zeige jedoch, "dass Schutzmaßnahmen auf dem Endgerät allein nie ausreichen." Seiner Ansicht nach müsse eine moderne Threat-Protection-Lösung systemübergreifend sein und Endgeräte, Netzwerk und Cloud abdecken.
Der Kontext zählt
Bogdan Botezatu, Director Threat Research and Reporting bei Bitdefender, sieht UEFI-Firmware ebenfalls schon seit geraumer Zeit im Visier von Hackern. "Obwohl erfolgreiche Angriffe selten sind und in der Regel staatlich geförderte Akteure diese durchführen, besteht eine ständige Nachfrage an UEFI-Malware." Als Beispiel nennt Botezatu "Trickbot", dessen Hintermänner 2020 ein Testmodul eingeführt haben, um Firmware zu kompromittieren und Cyberkriminellen UEFI-basierte Malware anbieten zu können.
Erneut in den Blickpunkt von IT-Security-Experten geraten sind Schwachstellen im UEFI im April und Mai 2022 durch Sicherheits-Updates von Lenovo und HP. Betroffen Besitzer von über 100 unterschiedlichen Lenovo-Modellen und mehr als 180 HP-Modellen, unter anderem aus den Reihen Elite Slice, Elite Desk, Elite One, Elite Book, Pro Book und Z Book. Die Schwachstellen CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 wurden am 11. Oktober 2021 von Eset an Lenovo gemeldet. Der Hersteller veröffentlichte Mitte April 2022 ein Security Advisory. Die HP-Lücke CVE-2021-3808 entdeckte der Sicherheitsforscher yngweijw, die Schwachstelle CVE-2021-3809 Nicholas Starke von den Aruba Threat Labs. Auch HP hat dafür bereits Updates bereitgestellt.
Vergleichbare Sicherheitslücken wie jetzt auf den HP- und Lenovo-Geräten gab es laut Tim Berghoff, Security Evangelist bei Cyberdefense, auch schon in der Vergangenheit. "Dass Devices gerade während des Herstellungsprozesses und innerhalb der Lieferkette angreifbar sind, ist ebenfalls nicht neu. Gerade aber diese Sicherheitslücke zeigt wieder einmal deutlich, dass Hersteller mehr Sorgfalt an den Tag legen müssen, um ihre Devices abzusichern."
Die Schwachstellen bei HP haben einen sogenannten Base Score von 8,8, die Lücken bei Lenovo werden "nur" mit etwa sechs von maximal zehn Punkten auf der NVD-Skala (National Vulnerability Database) bewertet. Das liegt auch daran, dass ein Kriterium ist, auf welchem Weg sich Lücken ausnutzen lassen. Laut Berghoff liegen hier die Feinheiten: "Wer der Meinung ist, dass die UEFI-Lücken nicht so schlimm seien, weil man einen lokalen Zugriff und Administratorrechte benötigt, der vergisst, dass Sicherheitslücken meistens im Verbund mit anderen Schwachstellen von Kriminellen ausgenutzt werden. Eine andere Sicherheitslücke, die einem Angreifer diese lokalen Administratorrechte verschafft, wäre eine logische Ergänzung, um eine UEFI-Malware im Netzwerk unterzubringen. Der Schweregrad einer Schwachstelle muss immer in einen Kontext eingebettet sein."
Empfehlungen zum Schutz vor UEFi-Lücken
Microsoft hat seinen Microsoft Defender ATP im Juni 2020 um einen UEFI-Scanner ergänzt. Er ist Teil des Security-Gesamtkonzepts von Microsoft für Windows. Eset, dessen Experten sich beim Aufspüren von UEFI-Malware bereits mehrfach hervorgetan haben, hat als erster Anbieter von Endpoint-Security-Produkten einen sogenannten UEFI-Scanner in seine Produkte (für Unternehmens- und Privatkunden) integriert. Der prüft, ob das Pre-Boot Environment mit den UEFI-Spezifikationen übereinstimmt.
Bitdefender verfügt laut Bogdan Botezatu auch in Bezug auf UEFI-Malware "über die notwendigen und auch von unabhängigen Testlaboren anerkannten Fähigkeiten, Malware zu erkennen und abzuwehren". Man arbeite dabei mit einer mehrstufigen Abwehr.
G-Data-Sprecher Berghoff rät IT-Verantwortlichen in Unternehmen, "ihre genutzten Anwendungen immer auf dem aktuellsten Stand zu halten und verfügbare Updates einzuspielen, um Lücken für Angreifer zu schließen. So machen sie es Kriminellen auch schwerer, eine UEFI-Lücke auszunutzen."
Was Sie über das UEFI wissen sollten