News

Cyber-Angriff mit UEFI-Rootkit

Cyber-Angriff mit UEFI-Rootkit

Warum ist das so besonders?

Das Besondere ist das UEFI-Rootkit, welches von den Cyber-Kriminellen verwendet wurde. ESET-Forscher haben diesen Angriff entdeckt und festgestellt, dass es zum ersten Mal geglückt ist, quasi die Grenzen zwischen Hard- und Software aufzuheben. Das Gefährliche: Wenn die Malware erst auf dem Computer ist, kostet es viel Zeit und Mühen diese zu entfernen.

 

Verantwortlich für die Attacke soll die Sednit-Gruppe (auch APT28 oder FancyBear genannt) sein, die sich auch für den Angriff auf den Deutschen Bundestag verantwortlich verzeichnete. Die von ESET „LoJax“ getaufte Malware nutzt eine UEFI-Schwachstelle aus und nistet sich in dessen Speicher ein.

 

Unser Partner ESET stuft das Gefährdungspotential als extrem hoch ein. Sie befürchten Angriffe auf Top-Ziele wie Regierungsnetzwerke, Großunternehmen, Rüstungskonzerne oder auch NGOs. Es ist nicht auszuschließen, dass Cyberkriminelle und Cyberspionage-Gruppen UEFI zukünftig als neue Angriffsfläche nutzen.

Warum rococom – warum ESET?

Wir von rococom vertrauen auf ESET. Er ist der einzige große Anbieter von Endpoint-Security-Lösungen, die es mit dem ESET UEFI-Scanner geschafft haben, einen speziellen Schutz in seine Produkte zu integrieren. So können schädliche Komponenten in der PC-Firmware erkannt werden und eine Infektion kann verhindert werden.

Wie können Sie sich schützen?

 

Das Sednits UEFI-Rootkit ist nicht richtig signiert, sodass ein erster Sicherheitsmechanismus wie Secure Boot die Rootkit-Attacke abwehren kann. Wenn Secure Boot aktiviert ist, müssen Firmware-Komponenten, die geladen werden sollen, richtig signiert sein. Wir empfehlen die Aktivierung dieses Sicherheitsfeatures im BIOS-Setup. So besteht ein ganz grundlegender Schutz gegen Angriffe gegen die UEFI-Firmware. Die Aktualisierung der System-Firmware ist keine triviale Angelegenheit für Cyberkriminelle. Es gibt verschiedene Schutzmechanismen, die von der UEFI-Plattform bereitgestellt werden, um unautorisierte Schreibvorgänge im SPI Flash Memory zu verhindern. Das oben beschriebene Tool kann die Firmware des Systems nur überschreiben, wenn die SPI-Flash-Speicherschutzfunktionen anfällig oder falsch konfiguriert sind.

 

Daher sollten Computeruser sicherstellen, dass sie immer die neuesten UEFI/BIOS-Updates für ihre Motherboard installiert haben. Die Sicherheitslücke betrifft zwar eher ältere Chipsätze, allerdings sollten kritische Systeme auf moderne Chipsets mit Platform Controller Hub (vorgestellt mit Intel Series 5 Chipsets in 2008) überprüft werden.

Die Korrektur einer UEFI-Firmware-basierten Kompromittierung ist kompliziert. Es gibt keinen einfachen Weg, die Gefahr automatisch vom Computersystem zu entfernen.

 

Im oben beschriebenen Fall kann das Rootkit gelöscht werden, in dem der SPI Flash Memory mit einer zum Motherboard passenden, sauberen Firmware überschrieben wird. Dieses anspruchsvolle Eingreifen muss manuell vorgenommen werden. Mit dieser Prozedur sind nur die wenigsten Computeruser vertraut. Eine Alternative zum Flashen der Firmware wäre der komplette Austausch des Motherboards des kompromittierten Systems.

rococom GmbH & Co. KG

Am Hainebuch 25,
32457 Porta Westfalica
Info@rococom.de