Neue Angriffsart entdeckt
Erstes UEFI-Bootkit in „freier Wildbahn“ – unwiderruflicher Schaden droht
Bereiten Sie sich schon heute auf die Angriffe von morgen vor.
Nach Trojanern und Ransomware, die es auf Datendiebstahl und Erpressung abgesehen haben, entwickeln Angreifer schon länger neue „permanente“ Methoden, um Malware einzuschleusen.
Bereits 2018 wurden die ersten erfolgreichen UEFI-Malware-Angriffe (Lojax) öffentlich bekannt. (Die Abkürzung UEFI steht für „Unified Extensible Firmware Interface“ und beschreibt die Schnittstelle zwischen der Firmware, dem Betriebssystem und den verschiedenen Modulen eines Rechners.)
Jetzt gehen Angreifer noch einen Schritt weiter: Vor Kurzem wurde nun das erste öffentlich bekannte UEFI-Bootkit, das die wesentliche Sicherheitsfunktion der Plattform - UEFI Secure Boot – umgeht, „in freier Wildbahn“ entdeckt. Dieses kann sogar auf aktuellen Windows 11-Systemen mit aktiviertem UEFI Secure Boot ausgeführt werden. Experten vermuten, dass es sich um ein Bootkit mit dem Namen BlackLotus handelt – ein UEFI-Bootkit, welches schon seit Herbst letzten Jahres in einschlägigen Hackerforen für rund 5.000 Dollar verkauft wird. Noch ist ein Angriff mit einem UEFI-Bootkit recht aufwändig, Experten schätzen jedoch, dass sich das bald ändern wird und die Anzahl der UEFI-Bootkit-Angriffe, insbesondere auf lukrative Ziele, rasant steigen wird.
UEFI-Bootkits – unwiderruflicher Schaden
UEFI-Bootkits sind sehr mächtige Bedrohungen, da sie die volle Kontrolle über den Boot-Vorgang des Betriebssystems haben und somit in der Lage sind, verschiedene Sicherheitsmechanismen des Betriebssystems zu deaktivieren und ihre eigenen Daten im Kernel- oder Benutzermodus in den frühen Startphasen des Betriebssystems zu verteilen. Dadurch können sie sehr unauffällig und mit umfangreichen Berechtigungen operieren. Für reguläre Antivirenprogramme bleibt diese Form von Malware unsichtbar. Für die Angreifer selbst dagegen sind die Möglichkeiten endlos: Beschädigung der Firmware, Sperren des Rechners, selbst die Übernahme des gesamten Systems sind ein Leichtes. Das Besondere: Software-Updates und Neuinstallationen bleiben wirkungslos – eine im UEFI eingenistete Malware überlebt sogar eine Neuinstallation oder einen Festplattentausch. Eine einmal befallene Hardware bleibt verloren, da es bislang keine Ressourcen und Methoden gibt, die Malware zu entfernen. So kann diese Angriffsart schnell zu hohem finanziellen Schaden führen.
Sicherheit unabhängig vom Betriebssystem
Nur vollumfängliche Sicherheitslösungen bieten Nutzern entsprechenden Schutz vor diesem wachsenden Umfang an Angriffsszenarien. Proaktive Lösungen helfen außerdem dabei, bereits heute für die Angriffe von morgen gewappnet zu sein. Insbesondere im Umfeld von besonders hohen Sicherheitsanforderungen (VS, KRITIS o.ä.), sollten Nutzer unbedingt auf die notwendige Unabhängigkeit von der Sicherheitsarchitektur des Betriebssystems achten. Einen zusätzlichen Sicherheitsgewinn bieten Lösungen, die durch eine starke Separierung wie eine UEFI-Firewall fungieren. Auf diese Weise wird ein Einnisten von Malware im UEFI des Rechners selbst bei Schwachstellen und Sicherheitslücken im Betriebssystem verhindert. Die Hardware ist auch in Zukunft geschützt und bleibt für die vertrauenswürdige Arbeit erhalten.
IT-Sicherheitsexperte Rohde & Schwarz Cybersecurity bietet mit seinem BSI-zugelassenen VS-Arbeitsplatz mit Zero-Trust-Technologie R&S®Trusted Endpoint Suite einen entsprechenden Schutz. Die Suite besteht aus dem ersten vom BSI zugelassenen VPN Client, R&S®Trusted VPN Client, der unabhängig von den Sicherheitsmechanismen des Betriebssystems funktioniert, sowie der bewährten, BSI-zugelassenen Festplattenverschlüsselung R&S®Trusted Disk. R&S®Trusted VPN Client fungiert wie eine UEFI-Firewall und lässt potenzielle Angriffe aus dem Windows-Betriebssystem auf die Hardware-Firmware ins Leere laufen. Änderungen an der UEFI-Instanz, die das Betriebssystem sieht, werden zudem nach jedem Neustart beseitigt – eine permanente Einnistung von Malware wird unmöglich. So sind Nutzer heute schon gegen die Bedrohungen von morgen geschützt.
-PM Rohde & Schwarz Cybersecurity GmbH-