Onderzoekers hebben in firmware-images van Asus- en Gigabyte-moederborden malware aangetroffen waarmee aanvallers vergaande controle over het besmette systeem krijgen. De UEFI-rootkit wordt al jaren gebruikt, maar wordt nu pas beschreven. Hoe de firmware-images besmet konden worden is onbekend. Alle geïnfecteerde firmware-images waren voor moederborden met Intels H81-chipset. Dit is een oudere moederbordchipset die eind 2013 werd gelanceerd.
De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.
De malware in de besmette firmware wijzigt de werking van de Windows kernel loader en schakelt beveiligingsmaatregelen zoals Windows PatchGuard uit, dat juist aanpassingen aan de Windows-kernel moet voorkomen. Het uiteindelijke doel van de UEFI-malware is het laden van shellcode in het geheugen van de besmette computer. Deze shellcode maakt verbinding met de server van de aanvallers en laadt de uiteindelijke "payload" op het systeem.
De vraag blijft hoe de aanvallers erin zijn geslaagd om de firmware van malware te voorzien. Aangezien alle aangepaste firmware-images voor de H81-chipset waren vermoeden onderzoekers van antivirusbedrijf Kaspersky dat een kwetsbaarheid het injecteren van de rootkit mogelijk maakt. Het zou kunnen dat de aanvallers eerder toegang tot de aangevallen systemen hadden. Vervolgens hebben ze de moederbord-firmware gedownload, aangepast en weer geüpload.
De meeste infecties met de UEFI-rootkit zijn waargenomen in China, Vietnam, Iran en Rusland. Het is hierbij belangrijk om te vermelden dat het alleen gaat om Kaspersky-klanten die de gratis versie van de antivirussoftware gebruikten. Het werkelijke aantal infecties wereldwijd is dan ook onbekend, aangezien andere antivirusbedrijven nog geen melding van de malware hebben gemaakt.
Volgens de onderzoekers is de belangrijkste conclusie dat de UEFI-rootkit al sinds eind 2016 in gebruik lijkt te zijn, lang voordat er in het openbaar over UEFI-aanvallen werd geschreven. "Dit roept de vraag op: als de aanvallers destijds hier al gebruik van maakten, wat gebruiken ze nu dan?", zo besluiten de onderzoekers hun analyse.
Deze posting is gelocked. Reageren is niet meer mogelijk.