Die Paranoiker der Sicherheitswelt haben lange gewarnt, dass ein Computer, der in die Hände eines Fremden fällt, nicht wieder vertrauenswürdig sein sollte. Die Forscher eines Unternehmens haben nun gezeigt, dass diese Maxime in einigen Fällen auch für eine Klasse von Computern gilt, die Ihre Hände überhaupt nicht berührt: Cloud-Server.
Am Dienstag veröffentlichten Forscher des Sicherheitsunternehmens Eclypsium die Ergebnisse eines Experiments, in dem sie zeigten, dass sie für eine bestimmte Klasse von Cloud-Computing-Servern einen heimtückischen Trick anwenden können: Sie können einen Server von einem Cloud-Computing-Anbieter mieten - sie konzentrierte sich beim Testen auf IBM - und änderte die Firmware, wobei Änderungen am Code ausgeblendet wurden, die auch dann noch gültig sind, wenn sie nicht mehr gemietet werden und ein anderer Kunde dieselbe Maschine mietet. Während sie in ihrer Demonstration nur geringfügige Änderungen an der Firmware der IBM Server vorgenommen haben, warnen sie davor, dass mit derselben Technik Malware in den verborgenen Code der Server eingeschleust werden kann, die auch dann unentdeckt bleibt, wenn jemand anderes die Maschine übernimmt, und dies dem Hacker ermöglicht Spionieren Sie den Server aus, ändern Sie seine Daten oder zerstören Sie ihn nach Belieben.
"Wenn Unternehmen eine öffentliche Cloud-Infrastruktur nutzen, leihen sie sich im Wesentlichen Geräte aus, wie sie bei Ebay gekauft werden, und diese können vor der Nutzung vorinfiziert werden", sagt Yuriy Bulygin, Gründer von Eclypsium und ehemaliger Chef von Intel Advanced Bedrohungsforschungsteam. "In ähnlicher Weise kann dieses Gerät infiziert werden, wenn der Cloud-Dienstanbieter nicht alle Geräte auf der tiefsten Ebene einschließlich der Firmware bereinigt hat."
Cloud-Steuerung
Wie die Forscher von Eclypsium deutlich gemacht haben, wirkt sich dieses Problem der Cloud-Desinfektion nicht auf alle Cloud-Server aus. Ein typisches Cloud-Computing-Setup generiert den Computer jedes Kunden als eine sogenannte virtuelle Maschine, eine Art versiegeltes Aquarium innerhalb des Computers, das von der tatsächlichen Hardware des Servers und den virtuellen Maschinen anderer Kunden auf derselben Box isoliert ist. Aber jeder von Amazon über Oracle bis Rackspace bietet auch sogenannte Bare-Metal-Server an, bei denen ein Kunde einen gesamten Computer mietet und vollständig steuert, um die Leistung oder ironischerweise die Sicherheit zu verbessern. IBM hat Tausende von Unternehmenskunden, die Bare-Metal-Geräte für Videokonferenz-Hosting, mobile Zahlungen und Behandlungen zur neurologischen Stimulation einsetzen.
Wenn ein Angreifer einen Computer in einem Bare-Metal-Setup mietet, kann er einen weitaus gefährlicheren Zugriff auf Komponenten erhalten, die Malware auf den nächsten Mieter des Servers übertragen können. "Das Problem ist definitiv schlimmer und bei Bare-Metal-Diensten viel einfacher auszunutzen", sagt Bulygin.
Hacker, sowohl in der Forschung als auch in der Praxis, haben jahrelang gezeigt, dass die Firmware in wenig beachteten Chips, die alles von USB-Laufwerken bis hin zu Festplatten steuern, einen versteckten Halt für böswilligen Code bieten kann. Diese Infektionen können jeglichem Virenschutz ausweichen und sogar das vollständige Löschen des Computerspeichers überleben.
Die Forscher von Eclypsium beschäftigten sich mit der Firmware einer leistungsstarken Komponente in den Super Micro-Servern, die IBM Kunden für ihren Bare-Metal-Cloud-Computing-Service anbietet, der als Baseboard-Management-Controller bekannt ist. Der BMC wird zur Remote-Überwachung und -Verwaltung des Servers verwendet. Er kann auf den Arbeitsspeicher des Computers zugreifen und das Betriebssystem ändern. In früheren Untersuchungen hat Eclypsium sogar gezeigt, dass ein beschädigter BMC verwendet werden kann, um die Firmware anderer Komponenten neu zu schreiben, Computer zu blockieren oder sie für einen möglichen Ransomware-Angriff zu lähmen.
"Sobald die Firmware infiziert ist, gibt es wirklich keine Möglichkeit herauszufinden, ob sie noch infiziert ist oder ob sie wiederhergestellt werden kann."
Karsten Nohl, Sicherheitsforschungslabor
In ihren Experimenten mieteten die Forscher von Eclypsium einen IBM Bare-Metal-Cloud-Server und nahmen dann eine harmlose Änderung an der Firmware des BMC vor, indem sie lediglich ein Bit im Code änderten. Dann mieteten sie den Server nicht mehr und gaben ihn für andere Kunden wieder in den IBM-Pool verfügbarer Maschinen frei. Ein paar Stunden später hatten sie genug Server angemietet, um denselben Computer wiederzufinden, und ihn anhand der Seriennummer seines Motherboards und anderer eindeutiger Kennungen identifiziert. Sie fanden heraus, dass die BMC-Firmware-Änderung erhalten blieb, obwohl angeblich eine "frische" Maschine übergeben wurde.
"Die Infektion der Firmware ist dauerhaft. Sie wird nicht neu erstellt, wenn Sie den gesamten Software-Stack neu erstellen", sagt Bulygin. Und obwohl die Forscher nur eine harmlose Änderung vorgenommen haben, sagen sie, dass es einfach genug wäre, wirklich bösartige Firmware mit demselben Trick zu verbergen.
"Keine Möglichkeit zu wissen"
Als Reaktion auf die Forschungen von Eclypsium veröffentlichte IBM eine Erklärung, in der die Sicherheitsanfälligkeit als "gering" eingestuft wurde. Sie versprach jedoch, dass die BMC-Firmware der Server nun sorgfältig zwischen den Verwendungszwecken der Kunden gelöscht wird: "IBM hat auf diese Sicherheitsanfälligkeit reagiert, indem alle BMCs, einschließlich dieser, erzwungen wurden "Diese Unternehmen melden bereits aktuelle Firmware, die mit der werkseitigen Firmware aktualisiert werden muss, bevor sie anderen Kunden erneut zur Verfügung gestellt werden", heißt es in der Erklärung. "Alle Protokolle in der BMC-Firmware werden gelöscht und alle Kennwörter für die BMC-Firmware werden neu generiert."
Ab Montagabend sagten die Forscher von Eclypsium, sie könnten ihren Fang-und-Freilassungs-Trick noch ausführen, was impliziert, dass IBMs Lösung noch nicht in Kraft war. Ein IBM-Sprecher teilte WIRED jedoch mit, dass ein "Fix implementiert wurde und wir den Rückstand abarbeiten".
Andere Firmware-Forscher sind jedoch skeptisch, was die Schwachstelle und die angebliche Fehlerbehebung betrifft. Karsten Nohl, der den sogenannten BadUSB-Angriff entwickelte, der die Firmware von USB-Sticks unsichtbar verändert, wies darauf hin, dass die BMC-Firmware geändert werden könne, um Hackern Kontrolle zu bieten und Administratoren zu "lügen", wenn sie versuchen, sie erneut zu flashen Update-Mechanismus, der aktualisiert wurde, ohne den Code der Hacker zu entfernen. "Sobald die Firmware infiziert ist, gibt es wirklich keine Möglichkeit herauszufinden, ob sie noch infiziert ist oder ob sie wiederhergestellt werden kann", sagt Nohl. Ein anderer bekannter Firmware-Hacker, HD Moore, argumentiert, dass das Problem vollständig gelöst werden könne, wenn nur ein Teil der Hardware zum Server hinzugefügt wird, um die Integrität der Firmware zu überprüfen.
