Erstes UEFI-Bootkit überwindet Secure Boot und ist frei unterwegs

Bei der Malware mit dem Namen BlackLotus handelt es sich um ein UEFI-Bootkit. Diese Art Malware ist besonders gefährlich, da sie sich in die ersten Prozesse eines Boot-Vorgangs einklinkt und direkt Zugriff auf das erst danach startende Betriebssystem nehmen kann. Allerdings ist das UEFI auch entsprechend gut geschützt. Obwohl Forscher in der Vergangenheit bereits Schwachstellen in Secure Boot gefunden haben, gab es in den 12 Jahren, in denen das System existiert, keine Anzeichen dafür, dass Angreifer den Schutz je umgehen konnten. Das hat sich nun aber geändert, wie Ars Technica berichtet. Die BlackLotus-Malware kann ein Problem nutzen, das auch in den aktuellsten Versionen von Windows 10 und Windows 11 noch vorhanden ist. Microsoft hat die zugrundeliegende Sicherheitslücke in seinem Betriebssystem zwar im Januar geschlossen, allerdings wurden die fehlerhaften Dateien nicht in die dafür vorgesehene Blacklist aufgenommen - und das mit Absicht. Denn hätte man dies getan, wäre es erforderlich, dass auch alle PCs mit aktualisierten Bootloadern ausgestattet werden, was aber kaum machbar ist. Aktuell würde eine Sperrung der alten Dateien dazu führen, dass wahrscheinlich hunderte Millionen PCs in aller Welt nicht mehr hochfahren.

Klein und gemein

BlackLotus ist äußerst effizient programmiert und kommt lediglich auf eine Größe von 80 Kilobyte. Darin enthalten sind hinreichend Schadroutinen, um nicht nur Secure Boot, sondern auch mehrere andere Sicherheitsmechanismen des Betriebssystems zuverlässig zu deaktivieren - darunter Bitlocker, Hypervisor-protected Code Integrity (HVCI) und Windows Defender.

Sobald BlackLotus vollständig installiert ist, setzt das Bootkit einen benutzerdefinierten Kernel-Treiber ein, der unter anderem das Bootkit davor schützt, aus dem Speicher entfernt zu werden. Außerdem wird ein HTTP-Downloader installiert, der mit einem von einem Angreifer betriebenen Command-and-Control-Server kommuniziert und zusätzliche Schadcodes für den Benutzermodus oder den Kernel-Modus laden kann.

Die einzige Möglichkeit, Infektionen durch BlackLotus zu verhindern, besteht derzeit darin, sicherzustellen, dass alle verfügbaren Betriebssystem- und Anwendungs-Patches installiert wurden. Dies wird die Ausführung des Bootkits nicht komplett verhindern, aber es erschwert dem Installationsprogramm den nötigen Zugang zum System.