BlackHat-Vortrag zu manipulierbaren USB-Geräten

Wie schlimm ist BadUSB wirklich?

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Das Team von SRLabs stellte die BadUSB-Attacke auf der BlackHat in Las Vegas vor.
Das Team von SRLabs stellte die BadUSB-Attacke auf der BlackHat in Las Vegas vor. (Bild: Uli Ries)

Nachrichten zu einem möglichen Angriff mittels manipulierten USB-Geräten sorgten für Unruhe. Was genau dahinter steckt und wie dramatisch der Angriff wirklich ist war unklar. Auf der BlackHat wurden jetzt Details zum BadUSB-Angriff vorgestellt. Die gute Nachricht: Eine Attacke vorzubereiten ist deutlich komplexer, als es in ersten Berichten den Anschein hatte.

Die Geschichte um BadUSB, eine Attacke mit Hilfe manipulierter Firmware von USB-Geräten, hat im Vorfeld der BlackHat einige Wellen ausgelöst und wurde von Massenmedien aufgegriffen – allerdings ohne dass die Details wirklich bekannt waren.

Auf der BlackHat-Konferenz in Las Vegas haben die Forscher der Security Research Labs um Karsten Nohl ihre Attacke jetzt im Detail vorgestellt. Die wichtigsten Daten zuerst: Der Angriff ist ziemlich ausgefeilt und setzt einiges an Know-How auf Seiten der Angreifer voraus. Aktuell ist es nicht so, dass sich USB-Geräte großflächig und einfach infizieren lassen.

Die Attacke erfolgt über drei Schritte: Zunächst muss der Angreifer die passende Firmware sowie ein Patch-Tool für das jeweilige USB-Gerät sowie die notwendigen SCSI-Kommandos zum Update der Firmware finden. Hat man die notwendigen Daten gefunden, geht es ans Reverse Engineering der Firmware und der Update-Funktion. Erst wenn die Angreifer einen Weg gefunden haben, die Daten zu ändern und in die Firmware zu manipulieren, können sie die Firmware patchen – und erst dann werden aus den USB-Geräten Angriffswerkzeuge.

Angriffsszenarien

Die Attacke ist nicht auf USB-Sticks beschränkt, theoretisch betrifft sie jedes Gerät mit einem USB-Controller-Chip. Ein Angriffsweg ist beispielsweise ein infiziertes Android-Smartphone, das sich als USB-Ethernet-Gerät anmeldet und die Gateway-Einstellungen des PCs überschreibt, an dem es etwa zu Ladezwecken angeschlossen ist (tatsächlich hat SRLabs ein Proof-of-Concept dafür veröffentlicht).

Eine andere Angriffsmöglichkeit ist das Emulieren einer USB-Tastatur, die dann automatisch (auch zeitversetzt) Befehle ausführen, wenn das USB-Gerät an einem PC angeschlossen wird. So lassen sich beispielsweise Passwort-Dateien stehlen.

Fazit: Nicht neu, aber schwer abzuwehren

Der Angriff an sich ist nicht neu, mit speziellen Chips wie etwa einem RubberDucky oder entsprechend programmierten Arduinos lassen sich bereits länger ähnliche Attacken abbilden. Neu ist, dass – die entsprechenden Programmierkenntnisse sowie der Besitz von Firmware und Update-Tool vorausgesetzt – der Angriff über „normale“ USB-Geräte erfolgen kann.

Nüchtern betrachtet macht vor allem die Abwehr Probleme: Nohl und Co schlagen Aktionen wie Whitelisting oder das Blocken von unbekannten USB-Geräten vor. Hier gibt es aber aktuell nur wenige praktikable Lösungen. Ein Scan der Firmware setzt voraus, dass man auf die Firmware des USB-Geräts überhaupt zugreifen kann. Die Signierung des Codes wäre eine andere Maßnahme, aufgrund der zusätzlichen Kosten dürfte dies aber nicht wirklich weit ausgerollt werden. Die einfachste Lösung wäre es, Firmware-Updates direkt bei der Fertigung zu deaktivieren.

Das Team war der Angriffsmöglichkeit auf die Schliche gekommen, als es nach einer Möglichkeit gesucht hat, die USB-Sticks für andere (produktive und legale) Szenarien zu verwenden, etwa um Datenbankabfragen zu beschleunigen. Details zum Angriff und die Folien der BlackHat-Präsentation (pdf) haben die Sicherheitsforscher inzwischen Online gestellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42869136 / Sicherheitslücken)