UEFI-Malware bleibt Bedrohung für Privatanwender und Unternehmen
Eset: Firmware als Angriffspunkt
Mit dem Schadprogramm Lojax machte das Unified Extensible Firmware Interface (UEFI) im Herbst 2018 Schlagzeilen. Eset-Forscher hatten herausgefunden, dass Hacker mit neuartigen Angriffsmethoden die Firmware auf Mainboards infiltrieren und über diesen Weg die Systeme ausspionieren können. Immer stärker geraten derzeit die Hard- und Softwarelieferketten in das Visier von Cyberkriminellen, wobei UEFI-Malware immer wieder zum Einsatz kommt.
Daher sei es laut Eset wichtig, auf Sicherheitslösungen zu setzen, die auch die Schnittstelle zwischen Hard- und Software schützen. Eset habe in diesem Umfeld Pionierarbeit geleistet und als erster Security-Anbieter weltweit einen UEFI-Scanner in seine Produkte integriert.
„Gerade im Angesicht steigender Angriffszahlen auf die Hard- und Softwarelieferkette sollte keine Komponente als vertrauenswürdig gelten. Das gilt vor allem für die lokal eingesetzte Hardware. UEFI ist für Cyberkriminelle aus mehreren Gründen interessant. Es bietet die Möglichkeit, Hardwareinformationen im laufenden Betrieb auszulesen und zu manipulieren“, erklärt Thomas Uhlemann, Eset Security Specialist. Da UEFI noch vor dem Betriebssystem gestartet und ausgelesen wird, sei es möglich, dort resistente Malware, die selbst Festplattentausch übersteht, zu implementieren. Außerdem werde UEFI selten bis nie aktualisiert. Selbst bei Lücken im Code, für die Patches existieren, ist es nahezu unwahrscheinlich, dass diese ein Update schließt.
UEFI-Rootkits sind der Traum aller Hacker und ein Albtraum für alle Nutzer. Obwohl sie für viel Diskussionsstoff sorgten, gab es lange Zeit keine Beweise, dass sie bei Angriffen zum Einsatz kommen – bis 2018 Lojax entdeckt wurde. Bis zu diesem Zeitpunkt galten Attacken mit UEFI-Rootkits als machbar, aber nicht besonders realistisch. Doch spätestens seit 2018 steht außer Zweifel, dass UEFI-Rootkits bei Hackern zum Einsatz kommen, und zwar mit Erfolg: Über eine Milliarde Windows-Rechner weltweit waren von Lojax betroffen, so die Eset-Fachleute.
Kaum eine Sicherheitslösung prüfe mit ihren Schutztechnologien bis auf die Firmware-Ebene eines Mainboards, so Eset weiter. Ihre Aufgabe bestehe eher darin, nur Festplatten und Speicher zu analysieren. Der europäische IT-Sicherheitshersteller hat nun mit dem UEFI-Scanner ein spezielles Tool im Einsatz, um auch auf dieser Ebene zuverlässig den Sicherheitsstatus unter die Lupe nehmen zu können. Dabei handele es sich um ein-Modul, das allein dafür zuständig ist, den Inhalt der Firmware des Mainboards zu lesen und für Untersuchungen verfügbar zu machen. Diese Technik ermöglicht so der eigentlichen Analyse-Engine, die Pre-Boot-Umgebung eingehend auf ihre Integrität zu prüfen.
Durch den Einsatz des UEFI-Scanners seien Eset-Sicherheitslösungen in der Lage, verdächtige oder schädliche Elemente in der Firmware zu identifizieren und den Nutzer zu benachrichtigen. Die Anwender können festlegen, ob regelmäßig oder nach Bedarf gescannt werden soll. Verdächtige Elemente in der Firmware werden als „Potenziell Unsichere Anwendungen“ markiert, da Anwendungen auf dieser Ebene gegebenenfalls das gesamte System beeinflussen. Dabei kann es sich um legitime Software handeln, von der der Nutzer weiß, aber auch um schädlichen Code, der ohne Wissen auf das System gelangt ist.
Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und somit ein wichtiger Teil der Schnittstelle zwischen Hard- und Software eines Computers, insbesondere beim Hochfahren. UEFI löste den Vorgänger BIOS (Basic Input/Output System) ab und kann mit moderner Hardware besser kommunizieren. Zu den großen Vorteilen zählen zum einen die deutlich schnellere Geschwindigkeit beim Booten des Systems, zum anderen die Unterstützung von Festplatten mit größeren Kapazitäten.
Lesen Sie mehr zum Thema
