Viele Windows-Systeme ungeschützt: UEFI-Bootkit Blacklotus auf Github aufgetaucht
Nachdem das UEFI-Bootkit Blacklotus in der Vergangenheit nur in Hackerforen zum Verkauf angeboten und dessen Quellcode stets geheim gehalten wurde, ist Letzterer inzwischen für jedermann zugänglich auf Github aufgetaucht(öffnet im neuen Fenster). Wie aus der Readme des Projekts hervorgeht, kann die Schadsoftware nicht nur die Secure-Boot-Mechanismen von Windows umgehen, sondern bietet ebenso integrierte Schutzfunktionen, die das Entfernen der Malware erschweren. "Einmal installiert, kann herkömmliche Antivirensoftware den Agent nicht mehr scannen und eliminieren", so heißt es dort.
Als Features von Blacklotus gibt der Entwickler unter anderem die Umgehung von in modernen Windows-Systemen standardmäßig enthaltenen Sicherheitsfunktionen an. Dazu gehört insbesondere Secure Boot, das eigentlich dafür sorgen soll, dass Angreifer während des Startvorgangs des Betriebssystems keine Schadsoftware laden können.
Infolgedessen soll Blacklotus aber auch HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), die Bitlocker-Boot-Sequenz sowie den Windows Defender umgehen können. Wie Bleeping Computer(öffnet im neuen Fenster) von Alex Matrosov, dem CEO des Sicherheitsunternehmens Binarly, erfahren haben will, soll der auf Github aufgetauchte Quellcode jedoch unvollständig sein. Dieser enthalte "hauptsächlich den Rootkit-Teil und den Bootkit-Code zur Umgehung von Secure Boot".
Ein Patch ist vorhanden – aber bisher nicht aktiv
Dass Blacklotus nun frei zugänglich ist, stellt für viele Windows-Systeme, zu denen Angreifer potenziell einen lokalen Zugriff erlangen können, eine ernst zu nehmende Gefahr dar. Denn für die damit ausgenutzte Sicherheitslücke CVE-2023-24932(öffnet im neuen Fenster) hat Microsoft zwar bereits einen Patch bereitgestellt, doch dieser ist vorerst inaktiv. Wer schon jetzt von dem Sicherheitsupdate profitieren will, muss manuell nachhelfen.
Grund dafür ist die Tatsache, dass der Patch viele alte Bootmedien unbrauchbar macht. Das gilt sowohl für Windows-Installationsmedien von physischen Datenträgern wie DVDs oder USB-Sticks als auch für System-Backups, Wiederherstellungsmedien von PC-Herstellern oder Netzwerk-Bootmedien. Da Microsoft selbst davor warnte, dass das Sicherheitsupdate dazu führen könnte, dass einige Windows-Systeme nicht mehr starten, dürfte der Patch auf den meisten Rechnern noch inaktiv sein.
Erst im ersten Quartal 2024 soll das Sicherheitsupdate automatisch aktiviert werden. Bis dahin haben Angreifer mit dem Blacklotus-Bootkit ein leichtes Spiel, auf ungeschützte Windows-Systeme zuzugreifen und dort beispielsweise Daten zu stehlen oder weitere Schadsoftware für einen potenziellen Fernzugriff zu installieren. Wer den von Microsoft bereitgestellten Patch selbst aktivieren will, findet im Support-Bereich des Konzerns weiterführende Informationen(öffnet im neuen Fenster) dazu.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.