Hat Putin die besseren Hacker? Teil 4   US-Regierung warnt vor erheblichen Schwächen in der Firmware- Lieferkette

Hat Putin die besseren Hacker? Teil 4 US-Regierung warnt vor erheblichen Schwächen in der Firmware- Lieferkette

10. März 2022 0 Von Horst Buchwald

Hat Putin die besseren Hacker? Teil 4

US-Regierung warnt vor erheblichen Schwächen in der Firmware- Lieferkette

Washington, 10.3.2022

Die US-Regierung macht auf höchster Ebene auf erhebliche Schwachstellen in der Firmware-Lieferkette aufmerksam und warnt davor, dass die Schicht unterhalb des Betriebssystems ein fruchtbarer Boden für verheerende Hackerangriffe ist.

In einem neuen gemeinsamen Berichtsentwurf, der von der Leitung des US-Heimatschutzministeriums (DHS) und des Handelsministeriums herausgegeben wurde, heißt es, dass die Firmware „eine große und sich ständig erweiternde Angriffsfläche“ für böswillige Hacker darstellt, um das Herzstück moderner Computer zu untergraben. „Die Absicherung der Firmware-Ebene wird oft übersehen, aber sie ist eine einzige Schwachstelle in Geräten und eine der heimlichsten Methoden, mit denen ein Angreifer Geräte in großem Umfang kompromittieren kann.“

Weiter heißt es: „Angreifer können die Sichtbarkeit von Betriebssystemen und Hypervisoren untergraben und die meisten Sicherheitssysteme umgehen, sich verstecken und über längere Zeiträume in Netzwerken und Geräten verbleiben, während sie Angriffsoperationen durchführen und unwiderruflichen Schaden anrichten“, so die beiden Behörden nach einer einjährigen Bewertung der Lieferketten für kritische IT-Infrastrukturen, die in den Vereinigten Staaten eingesetzt werden.

„Firmware kann auch ein lukratives Ziel mit relativ geringen Kosten für einen Angriff sein. In den letzten Jahren haben Hacker zunehmend Firmware ins Visier genommen, um verheerende Angriffe zu starten“.

In dem 96-seitigen Bericht (PDF), der zur Unterstützung der Biden Executive Order zur Sicherung der amerikanischen Lieferketten veröffentlicht wurde, wird davor gewarnt, dass die privilegierte Position von Firmware im Computer-Stack heimlichen Angreifern einen großen Vorteil verschafft.

https://www.dhs.gov/sites/default/files/2022-02/ICT%20Supply%20Chain%20Report_0.pdf

Trotz der wichtigen Rolle, die Firmware in elektronischen Geräten spielt, betonten die Behörden, dass die Sicherheit von Firmware „traditionell keine hohe Priorität für Hersteller oder Nutzer hat und nicht immer gut geschützt ist“. Bei der Bewertung stellten sie fest, dass die Firmware von Geräten wie Netzwerkkarten, Wi-Fi-Adaptern und USB-Hubs häufig nicht ordnungsgemäß mit öffentlichen oder privaten Schlüsseln signiert ist. „Diese Geräte haben keine Möglichkeit zu überprüfen, ob die Firmware authentisch ist und man ihr vertrauen kann.

Noch schlimmer sei, dass OEMs und Computerhersteller die Firmware-Entwicklung an Drittanbieter auslagern. „Dies birgt Risiken, da die Programmierung und die Cybersicherheitsstandards der Lieferanten nicht transparent sind.“

Die Warnung der Regierung kommt zu einem Zeitpunkt, an dem Bedrohungsjäger Anzeichen dafür entdecken, dass APT-Akteure aus Staaten UEFI-Firmware-Implantate verwenden, um heimliche Infektionen aufrechtzuerhalten und Neustarts und Neuinstallationen des Betriebssystems zu überleben. Das berüchtigte FinSpy-Überwachungsspionage-Toolkit wurde ebenfalls mit einem Bootkit ausgestattet, um heimliche Infektionen durchzuführen.

In dem Bericht warnen die Behörden auch vor „komplexen Lieferketten“, die die Probleme bei der Sicherung von Firmware-Installationen verschärfen.

„In der PC-Produktion beispielsweise sind die OEMs in der Regel für die Firmware und die übrigen Elemente der PC-Plattform verantwortlich. Viele OEMs lagern jedoch die Firmware-Entwicklung an Drittanbieter aus, bei denen die OEMs möglicherweise keinen Einblick in deren Cybersicherheitshygiene haben. Selbst wenn OEMs Sicherheitsstandards festlegen, sind sie möglicherweise nicht in der Lage, die Sicherheitsprotokolle der Zulieferer bei einer Vielzahl von Komponenten und Unterlieferanten durchzusetzen“, warnten die Regierungsbehörden.

Sicherheitsgipfel für die Lieferkette

In dem Bericht wird auch darauf hingewiesen, dass einzelne OEM-Anbieter die Firmware je nach den Anforderungen des Geräts ändern können, sobald die Firmware an den OEM geliefert wurde. „Dies kann zu Verwirrung darüber führen, welche Partei letztendlich für die Integrität der Firmware verantwortlich ist und wer den Kunden mit Updates versorgt.“

„Da sich Geräte und Firmware ändern, schließen OEMs oft Verträge mit verschiedenen Firmware-Entwicklern ab, was zu Verzögerungen oder dem Fehlen von Updates führen kann, wenn ältere Geräte aktualisiert werden müssen und der ursprüngliche Entwickler nicht verfügbar ist. All diese Faktoren können die Firmware für böswillige Angriffe anfällig machen“, heißt es in dem Bericht.

Die Agenturen wiesen auch auf die Schwierigkeiten bei der Durchführung von Firmware-Updates hin. „Der Aktualisierungsprozess und die Fähigkeit einer Firmware variieren von Gerät zu Gerät. Einige Geräte erhalten regelmäßige Firmware-Updates. Andere erhalten vielleicht nur ein einziges Update während ihrer Lebensdauer, während wieder andere nie ein Update erhalten“.

Noch schlimmer ist, dass der Prozess zur Installation von Firmware-Updates nicht einfach ist, was dazu führt, dass Patches für kritische Sicherheitslücken übersprungen werden.

„Firmware-Updates stellen für viele Unternehmen eine große logistische Herausforderung dar“, so die Agenturen. „In vielen Fällen wird die Gerätefirmware nie oder nur im Notfall aktualisiert. Darüber hinaus stellen Hersteller Firmware-Updates nur dann zur Verfügung, wenn sie durch einen Vorfall oder eine identifizierte Schwachstelle veranlasst werden.“