Hersteller schlampen bei Sicherheit: Sicherer Windows-Start lässt sich umgehen
Wer einen aktuellen Computer einschaltet, soll von der ersten Sekunde an mit Secure Boot geschützt sein. Windows setzt dann darauf auf, sodass niemand den Startprozess unterwandern kann. Wie Sicherheitsexperten jetzt herausgefunden haben, schlampen die PC-Hersteller dabei seit Jahren.
Früher war es ein häufiges Problem, dass Angreifer schon zuschlagen konnten, bevor Windows und andere Betriebssysteme überhaupt gestartet waren. Um dieses Problem anzugehen, wurde der BIOS-Nachfolger UEFI zu Zeiten von Windows 8 mit der Secure-Boot-Funktion ausgestattet.
Dieser sichere Start ist heute Standard und soll eigentlich für eine vertrauenswürdige Kette vom Einschalten des Computers bis zur Nutzeranmeldung sorgen. Wie Sicherheitsexperten unter dem Stichwort PKfail aber jetzt herausgefunden haben, ist das in vielen Fällen nicht der Fall, weil PC-Hersteller schlampig arbeiten.
UEFI nicht korrekt abgesichert
PKfail steht für "Platform Key Fail" und bedeutet, dass PC-Hersteller bei den eingesetzten Schlüsseln rund um ihre UEFI-Firmware geschlampt haben. Betroffen davon sind nach aktuellen Erkenntnissen über 800 Geräte von bekannten Herstellern, darunter
Acer
Aopen
Dell
Fujitsu
Gigabyte
HP
Intel
Lenovo
Supermicro
Das Problem entsteht durch den Secure Boot Master Key, der in der UEFI-Terminologie als Platform Key (PK) bezeichnet wird. UEFI-Anbieter generieren dafür Test-Keys und liefern diese an verschiedene PC-Hersteller aus. Diese wiederum sollten für ihre Geräte eigene Schlüssel erzeugen und den mitgelieferten Schlüssel austauschen.
Doch genau das ist in vielen Fällen nicht gemacht worden, obwohl die PKs explizit als nicht vertrauenswürdig gekennzeichnet waren. Damit lässt sich der sichere Start von Angreifern umgehen.
Der optimale Schutz für Ihren PC
Systeme testen und schützen
Besonders pikant ist, dass sich die betroffenen Geräte nur schwer eingrenzen lassen. Achten Sie darauf, ob Sie eine UEFI-Firmware von American Megatrends International (AMI) haben, denn nur diese sind betroffen.
Anhand des Alters lässt sich das Problem nur schwer eingrenzen, es sind Systeme bis zurück ins Jahr 2012 betroffen, aber auch ganz aktuelle Hardware. Die Entdecker der Sicherheitslücke bieten eine Testseite an, die eine Firmware auf die Schwachstelle prüfen kann.
Ist das eigene Gerät betroffen, hilft nur ein UEFI-Update des Herstellers. Nutzer sollten also prüfen, ob der PC-Anbieter Firmware-Updates bereitstellt, die PKfail beheben.
Die Bestenliste aller Notebooks finden Sie hier
Dieser Artikel kann Partnerlinks enthalten, von denen Yahoo und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.