Viele Windows-Systeme ungeschützt: UEFI-Bootkit Blacklotus auf Github aufgetaucht

Nachdem das UEFI-Bootkit Blacklotus in der Vergangenheit nur in Hackerforen zum Verkauf angeboten und dessen Quellcode stets geheim gehalten wurde, ist Letzterer inzwischen für jedermann zugänglich auf Github aufgetaucht. Wie aus der Readme des Projekts hervorgeht, kann die Schadsoftware nicht nur die Secure-Boot-Mechanismen von Windows umgehen, sondern bietet ebenso integrierte Schutzfunktionen, die das Entfernen der Malware erschweren. "Einmal installiert, kann herkömmliche Antivirensoftware den Agent nicht mehr scannen und eliminieren", so heißt es dort.

Als Features von Blacklotus gibt der Entwickler unter anderem die Umgehung von in modernen Windows-Systemen standardmäßig enthaltenen Sicherheitsfunktionen an. Dazu gehört insbesondere Secure Boot, das eigentlich dafür sorgen soll, dass Angreifer während des Startvorgangs des Betriebssystems keine Schadsoftware laden können.

Infolgedessen soll Blacklotus aber auch HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), die Bitlocker-Boot-Sequenz sowie den Windows Defender umgehen können. Wie Bleeping Computer von Alex Matrosov, dem CEO des Sicherheitsunternehmens Binarly, erfahren haben will, soll der auf Github aufgetauchte Quellcode jedoch unvollständig sein. Dieser enthalte "hauptsächlich den Rootkit-Teil und den Bootkit-Code zur Umgehung von Secure Boot".

Ein Patch ist vorhanden – aber bisher nicht aktiv

Dass Blacklotus nun frei zugänglich ist, stellt für viele Windows-Systeme, zu denen Angreifer potenziell einen lokalen Zugriff erlangen können, eine ernst zu nehmende Gefahr dar. Denn für die damit ausgenutzte Sicherheitslücke CVE-2023-24932 hat Microsoft zwar bereits einen Patch bereitgestellt, doch dieser ist vorerst inaktiv. Wer schon jetzt von dem Sicherheitsupdate profitieren will, muss manuell nachhelfen.

Grund dafür ist die Tatsache, dass der Patch viele alte Bootmedien unbrauchbar macht. Das gilt sowohl für Windows-Installationsmedien von physischen Datenträgern wie DVDs oder USB-Sticks als auch für System-Backups, Wiederherstellungsmedien von PC-Herstellern oder Netzwerk-Bootmedien. Da Microsoft selbst davor warnte, dass das Sicherheitsupdate dazu führen könnte, dass einige Windows-Systeme nicht mehr starten, dürfte der Patch auf den meisten Rechnern noch inaktiv sein.

Erst im ersten Quartal 2024 soll das Sicherheitsupdate automatisch aktiviert werden. Bis dahin haben Angreifer mit dem Blacklotus-Bootkit ein leichtes Spiel, auf ungeschützte Windows-Systeme zuzugreifen und dort beispielsweise Daten zu stehlen oder weitere Schadsoftware für einen potenziellen Fernzugriff zu installieren. Wer den von Microsoft bereitgestellten Patch selbst aktivieren will, findet im Support-Bereich des Konzerns weiterführende Informationen dazu.