zurück zur Übersicht

LIGHTEATER Stoppen – IPMI und BIOS Konsolen-Angriffe in Echtzeit erkennen

Das Cyber Security Defense Team der iT-CUBE SYSTEMS AG ist ständig dabei, aktuelle Bedrohungen zu analysieren und entsprechende Maßnahmen zu treffen, damit die Daten unsere Kunden sicher vor Angriffen sind. In der vergangenen Woche widmeten wir uns den Intelligent Plattform Management Interface (IPMI) Protokollen, um dort Schwachstellen und mögliche Angriffsvektoren zu entdecken. In unserer Laborumgebung konnten wir nachweisen, dass es durch die Verwendung der IMPI Protokolle möglich ist, direkten Zugriff auf Server zu erlangen, so, als ob man direkt davor sitzen würde. Diese Schwachstelle erlaubt es Angreifern, Befehle über die Protokolle abzusenden und so Modifikationen an dem System vorzunehmen. Diese Modifikationen reichen vom einfachen Herunterfahren des Servers bis hin zu Änderungen am BIOS oder sogar dem direkten Kopieren der gesamten Festplatte. Mit diesem Wissen haben wir den Threat modelliert und in einen Detection Use Case für gängige SIEM-Systeme umgesetzt, der diese Art von Angriffen bzw. Zugriffen unmittelbar erkennen kann. Von uns betreuet SIEM-Kunden (ThreatRadar, ThreatReply) werden so in die Lage versetzt, Gefahren und Angriffe frühzeitig zu erkennen und entsprechende Gegenmaßnahmen zu treffen. Kurz nach der Entdeckung der mit einem CVSS-Score von 10 bewerteten Schwachstelle erschien der Artikel bei Golem (http://goo.gl/HrLjs8 ). Dieser Artikel beschreibt ein Root-Kit, das mit genau diesem Angriffsvektor arbeitet, sich im BIOS des Zielsystems installiert und so in der Lage ist, geheime GPG-Schlüssels zu kopieren. Nach einem erfolgreichen Zugriff auf das System (z.B. per Exploit) kann der Angreifer die Festplatten im System kopieren: Weitere Details: http://www.cvedetails.com/cve/CVE-2013-4784/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer