Blacklotus-Malware hebelt Secure Boot auf Windows-Rechnern aus
Eset warnt vor einer neuen Bedrohung: Das UEFI-Bootkit Blacklotus kann den Secure-Boot-Modus von Windows umgehen und verschiedene Sicherheitsfeatures so lahmlegen oder umgehen. Der Schädling ist seit Oktober in Hackerforen erhältlich.
![(Source: Hong Zhang / Pixabay.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/03/03/lotus-g5d4eebacf_1920.jpg?itok=hapuwL5a)
Die Sicherheitsforschenden von Eset haben eine unangenehme Entdeckung gemacht. Für 5000 US-Dollar können Cyberkriminelle zahlreiche Sicherheitsmechanismen von Windows-Rechnern einfach umgehen. So viel kostet nämlich das UEFI-Bootkit namens Blacklotus auf dem Schwarzmarkt. Der Schädling ist mindestens seit Oktober erhältlich.
Ein Bootkit ist eine Sammlung von Tools und Bootloadern, die so früh wie möglich beim Systemstart geladen wird, um diesen zu kontrollieren. Das besondere an Blacklotus ist, dass der Schädling nun die Sicherheitsfunktion Secure Boot umgehen kann. Das Feature lässt einen Windows-Start nur dann zu, wenn bestimmte Firmware-Elemente (dazu zählt auch der Bootloader) nicht durch Dritte manipuliert wurden.
Laut Eset ist Blacklotus die erste bekannte Malware, die auf Windows-Systemen ausgeführt werden kann, selbst wenn die Sicherheitsfunktion der Firmware aktiviert ist. "Kein Mythos mehr", heisst es in einem Blogeintrag des Unternehmens. "Das erste UEFI-Bootkit 'in the wild', das UEFI Secure Boot auf vollständig aktualisierten UEFI-Systemen umgeht, ist traurige Realität."
Weil Blacklotus so früh in den Systemstart eingreift, kann die Malware auch Sicherheitsmassnahmen wie BitLocker, Hypervisor-protected Code Integrity (HVCI) und Windows Defender ausschalten und den User Account Control (UAC) umgehen. Dies macht es schwieriger, den Schädling aufzuspüren und zu stoppen.
So funktioniert Blacklotus
Das Schadprogramm nutzt eine Schwachstelle (CVE-2022-21894) aus, die bereits vor über einem Jahr behoben wurde. Entsprechende Sicherheitsupdates veröffentlichte Microsoft bereits im Januar 2022.
Die betroffenen gültig signierten Binärdateien wurden jedoch noch nicht zur UEFI-Sperrliste hinzugefügt. Deshalb sei es Cyberkriminellen noch immer möglich, die Schwachstelle auszunutzen. Blacklotus lädt zu diesem Zweck eigene Kopien legitimer - aber anfälliger - Binärdateien auf das System, wie Eset schreibt.
Nach der Installation stellt Blacklotus einen Kernel-Treiber bereit, der unter anderem das Bootkit davor schützt, entfernt zu werden. Zudem lädt es einen HTTP-Downloader auf den infizierten Rechner. Dieser kommuniziert mit dem Command-and-Control-Server und kann zusätzliche Payloads für den Benutzermodus oder den Kernel-Modus laden.
Wer für Blacklotus verantwortlich ist, darüber mutmasst Eset nicht. Der Sicherheitsanbieter weist jedoch darauf hin, dass die Bootkit-Installation unterbrochen wird, wenn der infizierte Rechner sich in Armenien, Belarus, Kasachstan, Moldawien, Russland oder in der Ukraine befindet.
Eset grenzt das UEFI-Bootkit in einer weiteren Mitteilung vom 2018 bekanntgewordenen UEFI-Firmware-Implantat ab. UEFI-Bootkits könnten ihre Tarnung einbüssen, da sich Bootkits auf einer leicht zugänglichen FAT32-Festplattenpartition befinden. Führt man sie jedoch als Bootloader aus, bieten beide Schädlinge fast dieselben Möglichkeiten. Was die UEFI-Malware Lojax so besonders und gefährlich macht, sagte Thomas Uhlemann von Eset Deutschland damals im Interview.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)