Neuer UEFI-Bootkit entdeckt: BlackLotus umgeht Secure Boot

Rohde & Schwarz hat die Entdeckung des ersten öffentlich bekannten UEFI-Bootkits gemeldet, das im normalen Betrieb ("in-the-wild") die grundlegende Sicherheitsfunktion UEFI Secure Boot umgeht. Die Bedrohung wird dem Bootkit BlackLotus zugeschrieben, das seit letztem Herbst in Hackerforen für rund 5.000 US-Dollar gehandelt wird.

UEFI (Unified Extensible Firmware Interface) ist die Schnittstelle zwischen der Firmware eines Computers und seinem Betriebssystem. Secure Boot dient dazu, das Laden von Schadsoftware während des Systemstarts zu verhindern. Die Fähigkeit des BlackLotus-Bootkits, diese Schutzmaßnahme zu umgehen, ermöglicht es, selbst aktuelle Windows 11-Systeme mit aktiviertem Secure Boot zu infizieren.

UEFI-Bootkits stellen eine erhebliche Bedrohung dar, da sie die vollständige Kontrolle über den Startvorgang des Systems erlangen. Dies erlaubt ihnen, Sicherheitsmechanismen des Betriebssystems zu deaktivieren und sich früh in der Startphase im Kernel des Systems einzunisten. Solche Schadsoftware bleibt für herkömmliche Antivirenprogramme unsichtbar und kann sogar eine Neuinstallation des Betriebssystems oder den Austausch der Festplatte überdauern. Darüber hinaus können sie die Firmware beschädigen, Computer sperren oder ganze Systeme übernehmen.

Rohde & Schwarz bietet Schutz vor diesen fortschrittlichen Bedrohungen mit seinen sicheren Workstation-Lösungen, einschließlich der R&S®Trusted Endpoint Suite. Diese Suite beinhaltet den R&S®Trusted VPN Client, eine betriebssystemunabhängige Lösung, die wie eine UEFI-Firewall agiert und das Eindringen von Schadsoftware in die Firmware verhindert. Sie umfasst auch die R&S®Trusted Disk Vollverschlüsselung. Beide Komponenten sind vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Schutz von Verschlusssachen zugelassen.