Erstes erfolgreiches UEFI-Rootkit

Lesezeit
1 Minute
Bis jetzt gelesen

Erstes erfolgreiches UEFI-Rootkit

27.09.2018 - 13:44
Veröffentlicht in:
ESET-Forscher haben einen Cyberangriff entdeckt, bei dem erstmals ein sogenanntes UEFI-Rootkit erfolgreich eingesetzt wurde. Die Lojax getaufte Malware nutze eine Schwachstelle in der UEFI des Mainboards aus und niste sich in dessen Speicher ein. Dies sei extrem gefährlich, denn Lojax übernehme von dort die Kontrolle des gesamten Rechners.
Als Drahtzieher der Kampagne wird laut ESET [1] die Sednit-Gruppe (auch APT28 oder FancyBear genannt) vermutet, die durch ihre Angriffe auf hochrangige Regierungsziele auf sich aufmerksam gemacht hat.

UEFI-Rootkits seien extrem gefährliche und mächtige Werkzeuge für Cyberangriffe. Sie garantieren den Zugriff auf den gesamten Computer und können mit Zusatz-Malware beispielsweise auch den Datenverkehr mitschneiden oder umlenken. Besonders prekär ist: Schädlinge wie Lojax seien schwer zu erkennen und könnten Cybersicherheitsmaßnahmen wie etwa eine Neuinstallation des Betriebssystems oder sogar einen Festplattenaustausch überstehen. Zudem erfordere das Bereinigen eines infizierten Systems Kenntnisse, die weit über diejenigen eines durchschnittlichen Benutzers hinausgingen, wie zum Beispiel das Flashen von Firmware.

ESET stuft das Gefährdungspotential als extrem hoch ein und befürchtet Angriffe auf Top-Ziele wie Regierungsnetzwerke, Großunternehmen, Rüstungskonzerne oder auch NGOs. Die Bedrohung sei besonders groß, da es generell kaum Updates für BIOS beziehungsweise UEFI gebe. Zudem seien Administratoren und Anwender kaum über UEFI-Updates informiert, da es hier bisher keine Angriffe gegeben habe.

Es sei nicht auszuschließen, dass Cyberkriminelle und Cyberspionage-Gruppen UEFI zukünftig als neue Angriffsfläche nutzen. Die Opfersysteme seien immens verwundbar und technologisch kaum abzusichern. Die Entdeckung des weltweit ersten UEFI-Rootkits sei ein Weckruf für Unternehmen und User, welche die mit Firmware-Änderungen verbundenen Risiken oftmals ignorierten. Nicht zuletzt betont der Security-Anbieter, als einziger mit dem ESET UEFI-Scanner einen speziellen Schutz vor entsprechenden Angriffen zu bieten.


dr

[1] https://www.welivesecurity.com/deutsch/2018/09/27/lojax-uefi-rootkit-sednit-apt28/

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.