{"id":278392,"date":"2023-03-01T14:53:46","date_gmt":"2023-03-01T13:53:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=278392"},"modified":"2023-05-13T09:21:07","modified_gmt":"2023-05-13T07:21:07","slug":"blacklotus-uefi-bootkit-berwindet-secure-boot-in-windows-11","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/01\/blacklotus-uefi-bootkit-berwindet-secure-boot-in-windows-11\/","title":{"rendered":"BlackLotus UEFI-Bootkit überwindet Secure Boot in Windows 11"},"content":{"rendered":"

\"Windows\"[English<\/a>]Sicherheitsforscher von ESET haben eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bem\u00e4chtigt. BlackLotus d\u00fcrfte die erste UEFI-Bootkit-Malware in freier Wildbahn sein, die Secure Boot unter Windows 11 (und wohl auch Windows 10) aushebeln kann. Damit kann Malware dann auch den Defender oder Bitlocker und HVCI in Windows deaktivieren. So viel zur hochgelobten Sicherheit mit UEFI, Secure Boot & Co. unter Windows.<\/p>\n

<\/p>\n

\"\"Ich bin gerade auf Twitter auf diesen Sachverhalt gesto\u00dfen – ESET hat es beispielsweise in diesen Tweet<\/a> sowie in dieser Meldung<\/a> thematisiert.<\/p>\n

Alarmstufe Rot: Secure Boot kein Hindernis<\/h2>\n

Die Sicherheitsforscher von ESET sind auf ein sogenanntes Bootkit gesto\u00dfen, welches in Malware integriert werden kann. Dieses Bootkit ist in der Lage, wesentliche Sicherheitsmerkmale des UEFI Secure Boot zu umgehen. Dieses Sicherheitssystem wird von Microsoft propagiert und von Windows 10 bzw. Windows 11 propagiert und inzwischen f\u00fcr eine Zertifizierung sogar vorgeschrieben.\u00a0 Selbst ein vollst\u00e4ndig aktuelles Windows 11-System mit aktiviertem Secure Boot stellt f\u00fcr das Schadprogramm kein Problem dar, schreiben die ESET-Autoren.<\/p>\n

Aufgrund der Funktionalit\u00e4t des Bootkits und seiner einzelnen Merkmale gehen die Experten des europ\u00e4ischen IT-Sicherheitsherstellers davon aus, dass es sich um eine als BlackLotus bekannte Bedrohung handelt. Das UEFI-Bootkit wird seit Oktober 2022 in Hackerforen f\u00fcr 5.000 US-Dollar verkauft.<\/p>\n

Erste Hinweise in 2022<\/h2>\n

\"Erste Hinweise erhielten wir durch Treffer in unserer Telemetrie Ende 2022. Diese stellten sich als eine Komponente von BlackLotus \u2013 einem HTTP-Downloader \u2013 heraus. Nach einer ersten Analyse entdeckten wir in den Proben der gefunden Codemuster von sechs BlackLotus-Installationsprogrammen. Dadurch konnten wir die gesamte Ausf\u00fchrungskette untersuchen und erkennen, dass wir es hier nicht nur mit normaler Malware zu tun haben\", sagt Martin Smol\u00e1r, der ESET Forscher, der die Untersuchung des Bootkits leitete.<\/p>\n

Sicherheitsl\u00fccke wird ausgenutzt<\/h2>\n

BlackLotus nutzt eine mehr als ein Jahr alte Sicherheitsl\u00fccke (CVE-2022-21894) aus, um UEFI Secure Boot zu umgehen und sich dauerhaft im Rechner einzunisten. Dies ist die erste bekannte Ausnutzung dieser Sicherheitsl\u00fccke in freier Wildbahn.<\/p>\n

Obwohl die Schwachstelle mit dem Microsoft-Update vom Januar 2022 behoben wurde, ist ihr Missbrauch immer noch m\u00f6glich. Grund daf\u00fcr ist, dass die betroffenen, g\u00fcltig signierten Bin\u00e4rdateien immer noch nicht zur UEFI-Sperrliste hinzugef\u00fcgt wurden. BlackLotus nutzt dies aus, indem es seine eigenen Kopien legitimer – aber anf\u00e4lliger – Bin\u00e4rdateien auf das System bringt.<\/p>\n

Breites Spektrum an M\u00f6glichkeiten<\/h2>\n

BlackLotus ist in der Lage, Sicherheitsmechanismen des Betriebssystems wie BitLocker, HVCI und Windows Defender zu deaktivieren. Nach der Installation besteht das Hauptziel des Sch\u00e4dlings darin, einen Kernel-Treiber (den es unter anderem vor der Entfernung sch\u00fctzt) und einen HTTP-Downloader zu installieren. Letzterer ist f\u00fcr die Kommunikation mit dem Command-and-Control-Server zust\u00e4ndig und kann zus\u00e4tzliche Nutzdaten f\u00fcr den Benutzermodus oder den Kernel-Modus laden. Interessanterweise fahren einige der BlackLotus-Installationsprogramme nicht mit der Bootkit-Installation fort, wenn der kompromittierte Rechner Gebietsschemata aus Armenien, Belarus, Kasachstan, Moldawien, Russland oder der Ukraine verwendet.<\/p>\n

BlackLotus wurde mindestens seit Anfang Oktober 2022 in Untergrundforen beworben und verkauft. \"Wir haben Beweise, dass das Bootkit echt und die Werbung daf\u00fcr kein Betrug ist\", sagt Smol\u00e1r. \"Die geringe Anzahl von BlackLotus-Samples, die wir sowohl aus \u00f6ffentlichen Quellen als auch aus unserer Telemetrie erhalten haben, l\u00e4sst uns vermuten, dass noch nicht viele Hacker damit begonnen haben, es einzusetzen. Wir bef\u00fcrchten, dass sich dies schnell \u00e4ndern wird, sollte dieses Bootkit in die H\u00e4nde von Crimeware-Gruppen gelangen. Denn er ist leicht zu verteilen und kann von diesen Gruppen beispielsweise \u00fcber Botnetze verbreitet werden.\" Details lassen sich in diesem ESET-Beitrag nachlesen<\/a>.<\/p>\n

Was ist ein Bootkit?<\/h2>\n

UEFI-Bootkits sind Software-Bausteine, die die Boot-Abl\u00e4ufe im UEFI manipulieren und Sicherheitsfunktionen umgehen k\u00f6nnen. Sie stellen eine sehr m\u00e4chtige Bedrohungen f\u00fcr Windows-Rechner dar (geht zwar auch mit Linux, aber Secure Boot zielt auf Windows). Habt die Malware erst einmal die volle Kontrolle \u00fcber den Bootvorgang des Betriebssystems erlangt, k\u00f6nnen Schadroutinen verschiedene Sicherheitsmechanismen des Betriebssystems deaktivieren und ihre eigenen Schadprogramme im Kernel- oder Benutzermodus in den fr\u00fchen Bootphasen einbringen. Dadurch operieren sie heimlich und mit hohen Privilegien.<\/p>\n

Bislang wurden nur einige wenige Bootkits in freier Wildbahn entdeckt und \u00f6ffentlich beschrieben. Im Vergleich zu Firmware-Implantaten – wie LoJax, dem ersten UEFI-Firmware-Implantat in freier Wildbahn, das 2018 von ESET entdeckt wurde – k\u00f6nnen UEFI-Bootkits ihre Tarnung einb\u00fc\u00dfen, da sich Bootkits auf einer leicht zug\u00e4nglichen FAT32-Festplattenpartition befinden.<\/p>\n

Wenn sie jedoch als Bootloader ausgef\u00fchrt werden, haben sie fast die gleichen M\u00f6glichkeiten, ohne dass sie mehrere Sicherheitsebenen \u00fcberwinden m\u00fcssen, die vor Firmware-Implantaten sch\u00fctzen. \"Der beste Tipp ist, das System und seine Sicherheitsl\u00f6sung auf dem neuesten Stand zu halten. So erh\u00f6ht man die Chance, dass eine potentielle Bedrohung bereits zu Beginn gestoppt wird, bevor sie das Betriebssystem unterwandert\", schlie\u00dft Smol\u00e1r.<\/p>\n

Was ist UEFI?<\/h2>\n

UEFI steht f\u00fcr \u201eUnified Extensible Firmware Interface\" und beschreibt die Firmware des Mainboards. Diese wiederum bildet die Schnittstelle zwischen Hardware und Software w\u00e4hrend des Bootvorgangs. Eine wesentliche Funktion des UEFI ist, dass der Computer im Secure Boot hochfahren kann. Dies soll verhindern, dass Schadsoftware auf das Ger\u00e4t gelangt. Daher ist eine Umgehung dieser Sicherheitsfunktion auch so gef\u00e4hrlich.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von ESET haben eine BlackLotus getaufte Malware in freier Wildbahn entdeckt, die sich des UEFI bem\u00e4chtigt. BlackLotus d\u00fcrfte die erste UEFI-Bootkit-Malware in freier Wildbahn sein, die Secure Boot unter Windows 11 (und wohl auch Windows 10) aushebeln kann. Damit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,4378,8257],"class_list":["post-278392","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-10","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278392","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=278392"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/278392\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=278392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=278392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=278392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}