Duitse overheid: geen paniek over UEFI-rootkit
De ontdekking van een UEFI-rootkit die bij een daadwerkelijke aanval is gebruikt is geen reden tot paniek, zoals sommige media beweren. Dat stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.
Gisteren kwam anti-virusbedrijf ESET met het bericht dat het een UEFI-rootkit had ontdekt die herinstallatie van het besturingssysteem of het vervangen van de harde schijf kan overleven. De rootkit wordt namelijk in de UEFI-firmware geplaatst. Hierdoor wordt de rootkit voor het besturingssysteem geladen. Het nu waargenomen exemplaar laadde vervolgens een backdoor waarmee aanvallers op afstand controle over het systeem kregen.
Sommige media lieten weten dat het om een bijna niet te verwijderen "supervirus" ging dat miljarden computers in gevaar zou kunnen brengen, aldus het BSI. Volgens de Duitse overheidsorganisatie is dat niet het geval. Het BSI erkent dat de UEFI-rootkit lastiger is te verwijderen dan normale malware. Dit vereist namelijk het updaten van de firmware. Om de rootkit te installeren moet een aanvaller echter al de controle over een systeem hebben. Daarnaast kunnen beveiligingsmaatregelen zoals het inschakelen van Secure Boot de UEFI-rootkit tegengaan.
Verder stelt het BSI dat het hier om een APT (Advanced Persistent Threat )-aanval gaat. Dergelijke aanvallen zijn met name op bedrijven, instellingen en overheidsinstanties gericht. Misbruik van de UEFI-rootkit op grote schaal, waarbij eindgebruikers het doelwit zijn, is volgens het BSI onwaarschijnlijk. Dat geldt ook voor het gebruik van de backdoor die de rootkit op een besmet systeem laadt.
APT of niet, wanneer het masaal in te zetten is, dan zal het worden gebruikt in een worm uiteindelijk.
Duidelijk dat UEFI helemaal niets oplevert behalve problemen voor niet-windows systemen.
Immers, hardware boeren maken vrijwel nooit iets voor iets anders dan Windows, soms nog wat voor Apple, maar dit wist iedereen natuurlijk..
Bovendien, hoe harder overheids instanties roepen ' please move along, nothing to see here' hoe beter je moet kijken.
0patch doet het met 3rd party programmas, die ze live met microcode patchen.
Bij een backdoor zoals dit zou je gewoon de malware die het installeert moeten monitoren, de backdoor kan immers niet makkelijk een up-to-date versie van de malware binnenhalen, wat beveiliging ertegen gemakkelijker maakt.
Sigh...
Waarschijnlijk dat de Duitse regering nu zijn offensive cyber-possibilities in rook ziet opgaan.
Ik zag dat ESET inmiddels de UEFI scant, anderen zullen wel snel volgen....Zal me niet verbazen als de Duitse overheid veel geld heeft uitgegeven voor deze 0-day die nu ineens bekend is,..
In sommige media was de malware u.a. beschreven als een "bijna onuitblusbaar supervirus" dat miljarden computers in gevaar zou kunnen brengen.
Deze beoordeling wordt niet gedeeld door het Federaal Bureau voor Informatiebeveiliging (BSI).
Het klopt dat LoJax zich diep in de computer nestelt en wordt uitgevoerd nog voor het daadwerkelijke besturingssysteem of de antivirussoftware is uitgevoerd.
Dit maakt detectie en verwijdering van de malware aanzienlijk moeilijker dan schadelijke programma's die van invloed zijn op het besturingssysteem.
Om LoJax helemaal te kunnen installeren, moet een dader de controle over de computer al hebben overgenomen, bijvoorbeeld door bekende kwetsbaarheden in het besturingssysteem te misbruiken.
De BSI-aanbevolen beveiligingsmaatregelen voor computer- en netwerkbeveiliging (IT-Grundschutz of www.bsi-fuer-buerger.de) bieden dus ook voldoende bescherming tegen de LoJax-rootkit die hier wordt beschreven.
Opgemerkt moet nog worden dat APT-aanvallen (Advanced Persistent Threat) een serieuze bedreiging vormen voor bedrijven, instellingen en overheidsinstellingen.
Bijbehorende beschermende maatregelen moeten daarom professioneel en consequent worden geïmplementeerd.
Een massale uitbreiding naar particuliere gebruikers wordt echter niet verwacht.
Dit geldt ook voor de huidige versie voor de malwarevariant LoJax.
ik denk dat het wel aardig klopt, de overdreven koppen over heel veel systemen gaat niet zo zijn en ze zeggen ook niet dat het niet gebruikt gaat worden, dus die link met eigen gebruik tja.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
