Nytt UEFI-bootkit upptäckt: BlackLotus kringgår säkerhetsfunktioner

Säkerhetsföretaget Rohde & Schwarz rapporterar upptäckten av det första offentligt kända UEFI-bootkitet som fungerar "in-the-wild" och kringgår systemets grundläggande Secure Boot-skydd. Expertisen pekar på att det rör sig om BlackLotus-bootkitet, ett skadeprogram som sålts på hackerforum för cirka 5 000 dollar sedan förra hösten.

UEFI (Unified Extensible Firmware Interface) är gränssnittet mellan datorns firmware och operativsystemet. Secure Boot är en funktion som ska förhindra att skadlig kod laddas när systemet startas. BlackLotus-bootkitets förmåga att kringgå detta skydd gör att det kan köras även på de senaste Windows 11-systemen med Secure Boot aktiverat.

UEFI-bootkits utgör ett betydande hot eftersom de har full kontroll över systemets startprocess. Detta gör det möjligt för dem att inaktivera operativsystemets säkerhetsmekanismer och dölja skadlig kod i systemets kärna tidigt i startfasen. Sådan skadlig kod förblir osynlig för vanliga antivirusprogram och kan överleva operativsystemets ominstallation eller byte av hårddisk. Dessutom kan de skada firmware, låsa datorn eller ta över hela systemet.

Rohde & Schwarz erbjuder skydd mot den här typen av hot genom sin lösning, R&S®Trusted Endpoint Suite. Den inkluderar den operativsystemsoberoende VPN-klienten R&S®Trusted VPN Client, som fungerar som en UEFI-brandvägg och förhindrar skadlig kod från att infektera firmware, samt R&S®Trusted Disk full-disk-kryptering. Dessa lösningar är godkända av Tysklands federala byrå för informationssäkerhet (BSI) för skydd av klassificerad information.