Hacker können ihre unsichtbare Malware in “Rohmetall” Cloud Computer schlüpfen lassen

Die Paranoia der Sicherheits-Welt besagt schon lange, dass wenn dein Computer in die Hände eines Unbekannten fällt, kannst du deinem Computer nie wieder vertrauen. Jetzt hat ein Firmen Forscher demonstriert wie genau, in manchen Fällen, das ganze abläuft, aber ohne die Maschine überhaupt berührt zu haben: der Cloud Server.

Am Dienstag veröffentlichten Forscher von der Sicherheitsfirma Eclypsium das Resultat eines Experiments, welches zeigte, dass sie für eine bestimme Art von Computer Servern, einige Insider Tricks anwenden können:

Sie können einen Server von einem Cloud Anbieter mieten – Sie fokussierten sich auf IBM während der Testung – und änderten die Firmware, welche sie im Code verbargen, welcher noch weiterhin existierte, sogar nachdem der Mietvertrag abgeschlossen war und ein anderer Kunde dieselbe Maschine bereits gemietet hatte. Und während sie nur gutartige Veränderungen zu der IBM Server Firmware durchführten, in ihrer Demonstration, warten sie vor derselben Technik, denn diese könnte verwendet werden um Malware in einen versteckten Server Code einzuschleusen, welcher unerkannt bleibt, sogar nachdem jemand anderes die Maschine übernommen hat, was Hackern erlaubt einen Server zu überwachen, die Daten zu stehlen, oder ihn vollkommen zu zerstören.

“Wenn Organisationen öffentliche Cloud Infrastrukturen verwenden, borgen sie sich alles nur aus, ungefähr so, wenn man auf Ebay etwas gebrauchtet kauft, und es kann bereits infiziert sein, bevor man es benutzt.”, sagt Yuriy Bulygin, Eclypsiums Gründer und Leiter des Intel- fortgeschrittenen- Bedrohungs-Forschungs- Teams. “Auf ähnliche Weise, kann dieses Equipment bereits infiziert sein, wenn der Cloud Service Anbieter nicht das ganz Equipment gereinigt hat, und zwar sehr gründlich, was auch die Firmware inkludiert.”

Cloud Kontrolle

Das Cloud Reinigungsproblem ist, die Eclypsiums Forscher haben das genau ausgedrückt, es wirkt sich nicht auf alle Cloud Server aus. Ein typisches Cloud Computing Setup erzeugt eine virtuelle Maschine auf dem Computer eines jeden Kunden, eine Art von versiegeltem Aquarium, innerhalb der Computer Isolation von der echten Hardware des Servers und andere Nutzer haben die virtuellen Maschinen in derselben Box.

Aber jeder von Amazon angefangen über Oracle zu Rackspace bietet einen sogenannten Rohmetall Server, in welchem ein Kunde die gesamte Kontrolle für einen ganzen Computer erhält, um die Leistung zu steigern oder, mit Ironie behaftet, sicherer zu sein. IBM hat tausende von Unternehmer Kunden, die alle Rohmetall Maschinen für alles verwenden, wie Video Konferenzen, Mobile Zahlungen bis hin zu neurologischen Stimulations- Behandlungen.

Wenn man eine Maschine mit einem Rohmetall Server aufbaut, kann der Angreifer viel höhere Levels an Gefahr und Zugang erreichen, um die Komponenten zu erreichen, die Malware übermitteln, auch zu dem Nächsten Kunden, der den Server verwenden wird. “Das Problem ist definitiv schlimm und sehr leicht auszubeuten mit Rohmetall Servern,” sagt Bulygin.

Hacker, sowohl Forscher und auch reale- Welt Eingriffe, haben seit Jahren demonstriert, dass die Firmware in kleinen Chips ist, welche alles kontrollieren, wie USB Drives, oder Hard Drives, und können versteckte Codes verbergen, die niemals entdeckt werden. Diese Infektionen können an allen Antivirus Programmen vorbeischleichen, und den ganzen Speicher eines Computers leeren.

Die Forscher von Eclypsium konzentrierten sich auf die Firmware einer leistungsstarken Komponente in den Super Micro Servern, die IBM Kunden den Rohmetall Service anbietet, welcher bekannt ist als Baseboard-Management Kontroller. Der BMC wir zur Fernüberwachung verwendet und kann vom Zugriff auf den Arbeitsspeicher des Computers bis hin zum Ändern des Betriebssystems alles tun. In früheren Untersuchungen hat Eclypsium sogar gezeigt, dass ein beschädigter BMC verwendet werden kann, um die Firmware anderer Komponenten umzuschreiben, Computer zu blockieren oder lahmzulegen für eine potenzielle Ransomware Attacke.

“Sobald die Firmware einmal infiziert ist, gibt es wirklich keinen Weg zu wissen, ob es geheilt oder immer noch infiziert ist.”

In ihren Experimenten mieteten die Forscher von Eclysium einen Rohmetall Cloud Server von IBN und nahmen dann eine harmlose Änderung an der Firmware des BMCs vor. Dabei wurde nur ein einziges Bit im Code verändert. Dann wurde der Server nicht länger gemietet, und wieder im IB-Pool für verfügbare Maschinen untertauchen und für andere Kunden freigegeben. Einige Stunden später mieteten die Forscher erneut einige Server, und fanden dieselbe Maschine wieder, sie identifizierten sie anhand der eindeutigen Kennung. Sie fanden heraus, dass trotz der angeblichen “frischen” Maschine die BMC Firmware Änderung erhalten blieb.

“Die Infektion der Firmware blieb erhalten, es ist nicht ausgelöscht, wenn man die ganze Software im Ganzen Stück überholt,” sagt Bulygin. Obwohl die Forscher nur eine kleine Veränderung vornahmen, sagten sie, es wäre möglich, dass echte Malware mit demselben Trick versteckt werden könnte.

“Man kann es nicht wissen”

Als Antwort auf die Untersuchung von Eclypsium gab IBM eine Erkärung ab, in welcher die Sicherheitslücke als “niedrieger Schweregrad” heruntergespielt wurde. Es wurde trozdem das Versprechen gewagt, dass die BMC-Firmware sorgfältig gereinigt wird zwiscchen der Nutzung unterschiedlicher Kunden: “IBM hat geantwortet zu dieser Sicherheitslücke indem alle BMCs, inkludiert diejenigen, die bereits als up-to-date deklariert wurden, gereinigt werden mit einer Herstellungs-Firmware, bevor sie zu Kunden weiter gegeben werden,” besagt die Erklärung. “Alle Protokolle in der BMC Firmware werden gelöscht und alle Passwörter für die BMC-Firmware werden neu generiert.”

Am MOntagabend sagten die Forscher von Eclypsium, dass sie ihren Fangen-und-Freilassen-Trick noch weiterhin ausführen könnten, und deuteten damit darauf hin, dass die Reparatur von IBM noch nicht in Tat umgesetzt wurde. Ein Sprecher von IBM sagte zu WIRED, dass “eine Reparatur bereits implementiert wurde und wir den Rückstand aufarbeiten.”

Trotzdem sind andere auf Firmware fokussierte Forscher eher skeptisch, was den Schweregrad betrifft, wie die Sicherheitslücke benannt wurde und wie es angeblich gerichtet wurde. Karsten Nohl, der die sogenannte BadUSB Attacke entwickelte, was die Firmware unsichtbar auf USB Sticks versteckt, weist darauf hin, dass die BMC Firmware geändert werden könnte, um Hackern Kontrolle zu bieten und die Administratoren automatisch anzulügen, wenn sie versuchen, den Aktualisierungsmechanismus zu betätigen, der aktualisiert wurde, ohne den Code der Hacker zu entfernen. “

“Sobald die Firmware infiziert ist, kann man es nicht wissen, ob sie noch infiziert ist, oder bereits wieder gesund.”, sagt Nohl. Ein anderer gut bekannter Firmware Hacker, H. D. Moore, argumentiert, dass nur das Hinzufügen eines Hardwaregeräts zum Server zur Überprüfung der Integrität der Firmware das Problem vollständig auflösen würde.

IMB hat seinerseits auf die Frage von WIRED nicht reagiert, wie schwierig es ist, Firmware Updates zu vertrauen. Und da Eclypsium nur Rohmetall Angebote von IBM getestet hat, ist es unklar, ob dasselbe Firmware-Problem auf für andere Unternehmen gilt.

Die gute Nachricht ist, meint Nohl, dass die Rohmetall Server nur eine kleine Minderheit von Cloud Setups sind und dass virtuelle Server mit dem Firmware Trick viel schwieriger anzugreifen sind. Aber das ist kein Trost für diejenigen, die diese verwundbaren Setups verwenden. “Es ist eine Nische, aber Nische oder nicht, darum geht es nicht,” sagt Nohl. “Sogar für eine Nische ist es eine sehr relevante Attacke. Und es gibt keinen einfachen Weg dieser vorzubeugen.”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.