Blacklotus-Malware hebelt Secure Boot auf Windows-Rechnern aus
Eset warnt vor einer neuen Bedrohung: Das UEFI-Bootkit Blacklotus kann den Secure-Boot-Modus von Windows umgehen und verschiedene Sicherheitsfeatures so lahmlegen oder umgehen. Der Schädling ist seit Oktober in Hackerforen erhältlich.
Die Sicherheitsforschenden von Eset haben eine unangenehme Entdeckung gemacht. Für 5000 US-Dollar können Cyberkriminelle zahlreiche Sicherheitsmechanismen von Windows-Rechnern einfach umgehen. So viel kostet nämlich das UEFI-Bootkit namens Blacklotus auf dem Schwarzmarkt. Der Schädling ist mindestens seit Oktober erhältlich.
Ein Bootkit ist eine Sammlung von Tools und Bootloadern, die so früh wie möglich beim Systemstart geladen wird, um diesen zu kontrollieren. Das besondere an Blacklotus ist, dass der Schädling nun die Sicherheitsfunktion Secure Boot umgehen kann. Das Feature lässt einen Windows-Start nur dann zu, wenn bestimmte Firmware-Elemente (dazu zählt auch der Bootloader) nicht durch Dritte manipuliert wurden.
Laut Eset ist Blacklotus die erste bekannte Malware, die auf Windows-Systemen ausgeführt werden kann, selbst wenn die Sicherheitsfunktion der Firmware aktiviert ist. "Kein Mythos mehr", heisst es in einem Blogeintrag des Unternehmens. "Das erste UEFI-Bootkit 'in the wild', das UEFI Secure Boot auf vollständig aktualisierten UEFI-Systemen umgeht, ist traurige Realität."
Weil Blacklotus so früh in den Systemstart eingreift, kann die Malware auch Sicherheitsmassnahmen wie BitLocker, Hypervisor-protected Code Integrity (HVCI) und Windows Defender ausschalten und den User Account Control (UAC) umgehen. Dies macht es schwieriger, den Schädling aufzuspüren und zu stoppen.
So funktioniert Blacklotus
Das Schadprogramm nutzt eine Schwachstelle (CVE-2022-21894) aus, die bereits vor über einem Jahr behoben wurde. Entsprechende Sicherheitsupdates veröffentlichte Microsoft bereits im Januar 2022.
Die betroffenen gültig signierten Binärdateien wurden jedoch noch nicht zur UEFI-Sperrliste hinzugefügt. Deshalb sei es Cyberkriminellen noch immer möglich, die Schwachstelle auszunutzen. Blacklotus lädt zu diesem Zweck eigene Kopien legitimer - aber anfälliger - Binärdateien auf das System, wie Eset schreibt.
Nach der Installation stellt Blacklotus einen Kernel-Treiber bereit, der unter anderem das Bootkit davor schützt, entfernt zu werden. Zudem lädt es einen HTTP-Downloader auf den infizierten Rechner. Dieser kommuniziert mit dem Command-and-Control-Server und kann zusätzliche Payloads für den Benutzermodus oder den Kernel-Modus laden.
Wer für Blacklotus verantwortlich ist, darüber mutmasst Eset nicht. Der Sicherheitsanbieter weist jedoch darauf hin, dass die Bootkit-Installation unterbrochen wird, wenn der infizierte Rechner sich in Armenien, Belarus, Kasachstan, Moldawien, Russland oder in der Ukraine befindet.
Eset grenzt das UEFI-Bootkit in einer weiteren Mitteilung vom 2018 bekanntgewordenen UEFI-Firmware-Implantat ab. UEFI-Bootkits könnten ihre Tarnung einbüssen, da sich Bootkits auf einer leicht zugänglichen FAT32-Festplattenpartition befinden. Führt man sie jedoch als Bootloader aus, bieten beide Schädlinge fast dieselben Möglichkeiten. Was die UEFI-Malware Lojax so besonders und gefährlich macht, sagte Thomas Uhlemann von Eset Deutschland damals im Interview.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Cisco warnt vor Schwachstellen in Serversoftware und Angriffen auf VPN-Dienste
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
EDÖB kritisiert Digitec Galaxus
Latrodectus - der jüngste Schädling der IcedID-Entwickler
Betrüger ziehen Tutti-Nutzerin 2500 Franken aus der Tasche
Phishing-Betrüger täuschen Opfer mit vermeintlich gesperrter Apple-ID
SBB bündeln Cybersecurity und andere Sicherheitsbereiche
Der Astrologe rettet den Tag ... oder auch nicht
Cisco lanciert KI-gestützte Security-Lösung für Clouds und Rechenzentren
