Sicherheitsforscher haben ein Bootkit identifiziert, welches wesentliche Merkmale des Sicherheitssystems UEFI Secure Boot von Windows umgehen kann. Aufgrund der Funktionalität und Merkmale wird davon ausgegangen, dass es sich um eine als BlackLotus bekannte Malware handelt. Diese ist besonders gefährlich, da sie sich in die ersten Prozesse eines Boot-Vorgangs einklinkt und direkten Zugriff auf das danach startende Betriebssystem nimmt. Das Bootkit kann somit den Secure Boot und andere Schutzmechanismen deaktivieren.
Das UEFI-Bootkit nutz die Sicherheitslücke CVE-2022-21894, wobei die Schadsoftware der erste bekannte Missbrauch dieser Cyber-Lücke ist. Denn obwohl Forscher in der Vergangenheit bereits Schwachstellen im Secure Boot identifizieren konnten, gab es bisher keine Anzeichen dafür, dass Angreifer den Schutz je umgehen konnten.
Die Schwachstelle wurde im Januar 2022 von Microsoft geschlossen, trotzdem ist die Malware in der freien Wildbahn aktiv. Denn die betroffenen Binärdateien wurden nicht der UEFI-Sperrliste beigefügt und Kopien der gültig signierten Dateien können somit weiter für Angriffe genutzt werden. Daher können auch die Versionen von Windows 10 und Windows 11 betroffen sein.
Bei dem „Unified Extensible Firmware Interface“ handelt es sich um die Firmware des Mainboards, welche wiederum die Schnittstelle zwischen Hardware und Software während des Bootvorgangs bildet. Das Interface sorgt dafür, dass der Computer im Secure Boot hochgefahren und somit verhindert wird, das Malware auf das Gerät gelangt. Daher ist eine Umgehung dieser Sicherheitsfunktion, wie es bei BlackLotus erfolgt, sehr gefährlich.
Die fehlerhaften Binärdateien können erstmal nicht in die Sperrliste hinzugefügt werden, denn dies würde bedeuten, dass auch alle Computer mit aktualisierten Bootloadern ausgestattet werden müssten. Dies ist kaum machbar und eine aktuelle Sperrung der Dateien würde dazu führen, dass zahlreiche PCs auf der ganzen Welt beeinträchtigt werden.
Eine Möglichkeit sich vor dem UEFI-Bootkit BlackLotus zu schützen, besteht derzeit lediglich darin, regelmäßig Updates von Windows durchzuführen. Daher sollte darauf geachtet werden, dass immer alle verfügbaren Betriebssystem- und Anwendungs-Patches installiert werden. Dies stellt keinen kompletten Schutz vor BlackLotus dar, erschwert der Malware aber den nötigen Zugang zum System.