BlackLotus UEFI Bootkit ist kein Mythos mehr
Das erste UEFI-Bootkit „in freier Wildbahn“, das UEFI Secure Boot auf vollständig aktualisierten UEFI-Systemen umgeht, ist nun die traurige Realität. Forscher haben seit kurzem einen großen Cybersicherheitsfund bekannt gegeben – die weltweit erste bekannte Instanz echter Malware, die den Startvorgang eines Computers kapern kann, selbst wenn Secure Boot und andere erweiterte Schutzfunktionen aktiviert sind und auf vollständig aktualisierten Versionen von Windows ausgeführt werden.
BlackLotus UEFI Bootkit ist eine Art von Malware, die auf die Firmware des Unified Extensible Firmware Interface (UEFI) abzielt. Es handelt sich um eine Art von Rootkit, das im Bootprozess des Systems aktiv wird und sich selbst in der Firmware verankert, um permanente Kontrolle über das System zu erlangen.
Ein UEFI-Bootkit kann schwer zu erkennen sein, da es sich in der Firmware des Systems versteckt und oft keine Spuren auf der Festplatte hinterlässt. Es kann auch sehr schwierig zu entfernen sein, da die Malware bei einem Versuch, sie zu entfernen, möglicherweise den Bootprozess des Systems beschädigt.
DE LINK: https://www.welivesecurity.com/deutsch/2023/03/01/blacklotus-uefi-bootkit-ist-kein-mythos-mehr/
EN LINK: https://arstechnica.com/information-technology/2023/03/unkillable-uefi-malware-bypassing-secure-boot-enabled-by-unpatchable-windows-flaw/
EN LINK: https://b2b-cyber-security.de/en/red-alert-for-windows-11-bootkit-bypasses-uefi-secure-boot/
BlackLotus nutzt eine Sicherheitslücke (CVE-2022-21894), die mehr als ein Jahr alt ist, um UEFI Secure Boot zu umgehen und sich dauerhaft in den Computer einzunisten. Dies ist der erste bekannte Exploit dieser Schwachstelle in freier Wildbahn. Obwohl die Schwachstelle mit dem Januar 2022-Update von Microsoft behoben wurde, ist ihr Missbrauch weiterhin möglich. Dies liegt daran, dass die betroffenen, gültig signierten Binärdateien immer noch nicht zur UEFI-Sperrliste hinzugefügt wurden. BlackLotus nutzt dies aus, indem es seine eigenen Kopien von legitimen – aber anfälligeren – Binärdateien auf das System bringt.