BlackLotus UEFI Bootkit ist kein Mythos mehr

BlackLotus UEFI Bootkit ist kein Mythos mehr

Das erste UEFI-Bootkit „in freier Wildbahn“, das UEFI Secure Boot auf vollständig aktualisierten UEFI-Systemen umgeht, ist nun die traurige Realität. Forscher haben seit kurzem einen großen Cybersicherheitsfund bekannt gegeben – die weltweit erste bekannte Instanz echter Malware, die den Startvorgang eines Computers kapern kann, selbst wenn Secure Boot und andere erweiterte Schutzfunktionen aktiviert sind und auf vollständig aktualisierten Versionen von Windows ausgeführt werden.

BlackLotus UEFI Bootkit ist eine Art von Malware, die auf die Firmware des Unified Extensible Firmware Interface (UEFI) abzielt. Es handelt sich um eine Art von Rootkit, das im Bootprozess des Systems aktiv wird und sich selbst in der Firmware verankert, um permanente Kontrolle über das System zu erlangen.

Ein UEFI-Bootkit kann schwer zu erkennen sein, da es sich in der Firmware des Systems versteckt und oft keine Spuren auf der Festplatte hinterlässt. Es kann auch sehr schwierig zu entfernen sein, da die Malware bei einem Versuch, sie zu entfernen, möglicherweise den Bootprozess des Systems beschädigt.

DE LINK: https://www.welivesecurity.com/deutsch/2023/03/01/blacklotus-uefi-bootkit-ist-kein-mythos-mehr/

EN LINK: https://arstechnica.com/information-technology/2023/03/unkillable-uefi-malware-bypassing-secure-boot-enabled-by-unpatchable-windows-flaw/

EN LINK: https://b2b-cyber-security.de/en/red-alert-for-windows-11-bootkit-bypasses-uefi-secure-boot/

 

BlackLotus nutzt eine Sicherheitslücke (CVE-2022-21894), die mehr als ein Jahr alt ist, um UEFI Secure Boot zu umgehen und sich dauerhaft in den Computer einzunisten. Dies ist der erste bekannte Exploit dieser Schwachstelle in freier Wildbahn. Obwohl die Schwachstelle mit dem Januar 2022-Update von Microsoft behoben wurde, ist ihr Missbrauch weiterhin möglich. Dies liegt daran, dass die betroffenen, gültig signierten Binärdateien immer noch nicht zur UEFI-Sperrliste hinzugefügt wurden. BlackLotus nutzt dies aus, indem es seine eigenen Kopien von legitimen – aber anfälligeren – Binärdateien auf das System bringt.

Die BlackLotus-Malware wurde erstmals im Jahr 2015 entdeckt und zielt hauptsächlich auf Unternehmen in Russland und Osteuropa ab. Sie wird häufig von Cyberkriminellen verwendet, um Zugriff auf Systeme zu erhalten, um vertrauliche Informationen zu stehlen oder um Botnets aufzubauen.

Einige Möglichkeiten, um sich gegen UEFI-Bootkits wie BlackLotus zu schützen, sind:

  1. Aktualisieren Sie regelmäßig die Firmware Ihres Systems, um Sicherheitsupdates und Patches zu erhalten.

  2. Verwenden Sie Antiviren- und Anti-Malware-Software, um Ihr System zu schützen.

  3. Vermeiden Sie das Herunterladen von Software aus nicht vertrauenswürdigen Quellen oder das Öffnen von E-Mail-Anhängen von unbekannten Absendern.

  4. Überwachen Sie Ihre Systemaktivitäten und suchen Sie nach ungewöhnlichen Aktivitäten, wie z.B. unerwarteten Neustarts oder unbekannten Netzwerkverbindungen.

  5. Verwenden Sie starke Passwörter und authentifizieren Sie alle Benutzer auf Ihrem System.

  6. Schalten Sie Secure Boot ein, wenn es verfügbar ist, um zu verhindern, dass nicht signierte Code ausgeführt wird.

Es ist wichtig, dass Unternehmen und Einzelpersonen sich bewusst sind, dass UEFI-Bootkits eine reale Bedrohung darstellen und dass Schutzmaßnahmen ergriffen werden sollten, um ihre Systeme zu schützen.