Hersteller schlampen bei Sicherheit: Sicherer Windows-Start lässt sich umgehen

Wer einen aktuellen Computer einschaltet, soll von der ersten Sekunde an mit Secure Boot geschützt sein. Windows setzt dann darauf auf, sodass niemand den Startprozess unterwandern kann. Wie Sicherheitsexperten jetzt herausgefunden haben, schlampen die PC-Hersteller dabei seit Jahren.

Früher war es ein häufiges Problem, dass Angreifer schon zuschlagen konnten, bevor Windows und andere Betriebssysteme überhaupt gestartet waren. Um dieses Problem anzugehen, wurde der BIOS-Nachfolger UEFI zu Zeiten von Windows 8 mit der Secure-Boot-Funktion ausgestattet.

Dieser sichere Start ist heute Standard und soll eigentlich für eine vertrauenswürdige Kette vom Einschalten des Computers bis zur Nutzeranmeldung sorgen. Wie Sicherheitsexperten unter dem Stichwort PKfail aber jetzt herausgefunden haben, ist das in vielen Fällen nicht der Fall, weil PC-Hersteller schlampig arbeiten.

UEFI nicht korrekt abgesichert

Analyse einer betroffenen UEFI-Firmware
Analyse einer betroffenen UEFI-Firmware

PKfail steht für "Platform Key Fail" und bedeutet, dass PC-Hersteller bei den eingesetzten Schlüsseln rund um ihre UEFI-Firmware geschlampt haben. Betroffen davon sind nach aktuellen Erkenntnissen über 800 Geräte von bekannten Herstellern, darunter

WERBUNG
  • Acer

  • Aopen

  • Dell

  • Fujitsu

  • Gigabyte

  • HP

  • Intel

  • Lenovo

  • Supermicro

Das Problem entsteht durch den Secure Boot Master Key, der in der UEFI-Terminologie als Platform Key (PK) bezeichnet wird. UEFI-Anbieter generieren dafür Test-Keys und liefern diese an verschiedene PC-Hersteller aus. Diese wiederum sollten für ihre Geräte eigene Schlüssel erzeugen und den mitgelieferten Schlüssel austauschen.

Doch genau das ist in vielen Fällen nicht gemacht worden, obwohl die PKs explizit als nicht vertrauenswürdig gekennzeichnet waren. Damit lässt sich der sichere Start von Angreifern umgehen.

Der optimale Schutz für Ihren PC

Systeme testen und schützen

Testmöglichkeit für UEFI-Firmware
Testmöglichkeit für UEFI-Firmware

Besonders pikant ist, dass sich die betroffenen Geräte nur schwer eingrenzen lassen. Achten Sie darauf, ob Sie eine UEFI-Firmware von American Megatrends International (AMI) haben, denn nur diese sind betroffen.

WERBUNG

Anhand des Alters lässt sich das Problem nur schwer eingrenzen, es sind Systeme bis zurück ins Jahr 2012 betroffen, aber auch ganz aktuelle Hardware. Die Entdecker der Sicherheitslücke bieten eine Testseite an, die eine Firmware auf die Schwachstelle prüfen kann.

Ist das eigene Gerät betroffen, hilft nur ein UEFI-Update des Herstellers. Nutzer sollten also prüfen, ob der PC-Anbieter Firmware-Updates bereitstellt, die PKfail beheben.

Die Bestenliste aller Notebooks finden Sie hier
Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.