BlackLotus, ein UEFI-Bootkit, das in Hacking-Foren für etwa 5.000 US-Dollar verkauft wird, kann jetzt Secure Boot umgehen und ist damit die erste bekannte Malware, die auf Windows-Systemen ausgeführt wird, selbst wenn die Firmware-Sicherheitsfunktion aktiviert ist.
Secure Boot soll verhindern, dass Geräte auf Microsoft-Rechnern nicht autorisierte Software ausführen. Da die BlackLotus-Malware jedoch auf UEFI abzielt, wird sie während des Bootvorgangs vor allem anderen geladen, einschließlich des Betriebssystems und aller Sicherheitstools, die sie stoppen könnten.
Kasperskys leitender Sicherheitsforscher Sergey Lozhkin sah bereits im Oktober 2022, wie BlackLotus auf Marktplätzen für Cyberkriminalität verkauft wurde, und seitdem nehmen Sicherheitsspezialisten Stück für Stück auseinander.
In Forschung Der heute veröffentlichte Malware-Analyst Martin Smolár von ESET sagt, dass der Mythos eines freilaufenden Bootkits, das Secure Boot umgeht, „jetzt Realität“ ist, im Gegensatz zu der üblichen Menge gefälschter Anzeigen von Kriminellen, die versuchen, ihre Mittäter zu betrügen.
Die neueste Malware „kann sogar auf vollständig aktuellen Windows 11-Systemen mit aktiviertem UEFI Secure Boot ausgeführt werden“, fügte er hinzu.
BlackLotus nutzt eine mehr als ein Jahr alte Schwachstelle aus, CVE-2022-21894, um den sicheren Startvorgang zu umgehen und Persistenz herzustellen. Microsoft hat dieses CVE im Januar 2022 behoben, aber Missetäter können es immer noch ausnutzen, da die betroffenen signierten Binärdateien nicht zum hinzugefügt wurden UEFI-Widerrufslistestellte Underdog fest.
„BlackLotus nutzt dies aus und bringt seine eigenen Kopien von legitimen – aber anfälligen – Binärdateien in das System ein, um die Schwachstelle auszunutzen“, schrieb er.
Mehr als Proof-of-Concept-Exploit für diese Schwachstelle ist seit August 2022 öffentlich verfügbar, also erwarten Sie bald mehr Cyberkriminelle, die dieses Problem für illegale Zwecke nutzen.
Noch schwieriger zu erkennen: BlackLotus kann mehrere Betriebssystem-Sicherheitstools deaktivieren, darunter BitLocker, Hypervisor-geschützte Codeintegrität (HVCI) und Windows Defender, und die Benutzerkontensteuerung (UAC) umgehen, so der Sicherheitsshop.
Und obwohl die Forscher die Malware keiner bestimmten Bande oder nationalstaatlichen Gruppe zuordnen, stellen sie fest, dass die von ihnen analysierten BlackLotus-Installationsprogramme nicht fortfahren, wenn sich der kompromittierte Computer in Armenien, Weißrussland, Kasachstan, Moldawien, Rumänien befindet. Russland und die Ukraine.
Sobald BlackLotus CVE-2022-21894 ausnutzt und die Sicherheitstools des Systems deaktiviert, setzt es einen Kernel-Treiber und einen HTTP-Downloader ein. Der Kernel-Treiber schützt unter anderem die Bootkit-Dateien vor dem Entfernen, während der HTTP-Downloader mit dem Command-and-Control-Server kommuniziert und Payloads ausführt.
Die Bootkit-Forschung folgt UEFI-Schwachstellen in Lenovo-Laptops, die ESET im vergangenen Frühjahr entdeckt hat und die es Angreifern unter anderem ermöglichen, den sicheren Start zu deaktivieren.
„Es war nur eine Frage der Zeit, bis jemand diese Fehler ausnutzen und ein UEFI-Bootkit erstellen würde, das auf Systemen mit aktiviertem UEFI Secure Boot ausgeführt werden kann“, schrieb Smolár. ®
