Vorsicht bei der Verwendung unbekannter USB-Sticks walten zu lassen ist an sich keine Neuigkeit, gehört es doch zum IT-Standardwissen, dass sich Schadprogramme gerne über externe Speichermedien einen Weg in das Unternehmensnetzwerk verschaffen. Neu ist jedoch eine Angriffsart, welche sich deutsche Sicherheitsforscher der Firma Security Research Labs (SRLabs) haben einfallen lassen, für welchen es derzeit keinerlei Abwehrmaßnahmen gibt.
Umprogrammierung des Controller-Chips
Bei dem vorliegenden Angriff wird die Firmware (also quasi die Betriebssoftware) des Controller-Chips nach Angaben der Forscher derart umprogrammiert, dass das Gerät in die Lage versetzt wird, eine Tastatur und Ausgabe-Befehle im Namen des angemeldeten Benutzers nachzuahmen, um beispielsweise Dateien herauszuziehen oder selbst Malware zu installieren. Diese Malware hat dann auch die Möglichkeit, Controller-Chips von anderen an den Computer angeschlossen USB-Geräten zu infizieren.
Der Angriff ermöglicht auch das Vortäuschen einer Netzwerkkarte (sog. Spoofing) um so die DNS-Einstellungen des Computers dergestalt zu ändern, dass der Netzwerkverkehr auf den Rechner eines Angreifers umgeleitet wird.
Eine modifiziertes USB-Gerät (z.B. ein USB-Stick oder eine externe Festplatte) könnte nach den Angaben der Forscher – nach Erkennung eines Starvorgangs des betroffenen Computers – auch einen Virus booten, welcher das Betriebssystem des Computers noch vor dessen eigenem Bootvorgang infiziert.
Abwehrmaßnahmen
Effektive Abwehrmaßnahmen gegen diese Art von Angriffen existieren bisher nicht.
- Virenscanner helfen nicht weiter, da diese derzeit keinen Zugriff auf die Firmware des USB-Gerätes ermöglichen.
- Auch eine verhaltensbasierte Entdeckung erscheint mehr als schwierig, da infizierte Geräte ja wie oben beschrieben in der Lage sind andere Geräte nachzuahmen und eine Änderung so aussehen würde, als hätte der Nutzer lediglich ein anderes Gerät angeschlossen.
- Auch eine Neuinstallation des Betriebssystems hilft unter Umständen nicht weiter, da das USB-Gerät auf welchem sich das zu installierende Betriebssystem befindet ggf. bereits kompromittiert ist.
- Das Gleiche gilt für ggf. fest verbaute USB-Komponenten des infizierten Rechners. Auch das BIOS/ UEFI könnte bereits infiziert sein.
- Am Ende bliebe daher nur noch eine Entsorgung des Gerätes.
Konkrete Details werden die Forscher erst auf der Hacker-Konferenz Black Hat unter dem Namen „BadUSB – On accessories that turn evil“ vortragen, da dürfte dann auch die NSA nicht weit entfernt sein.
Ach du dicke Scheiße! Solche GAU-Meldungen machen echt schlechte Laune!