Die Security-Experten von
Eset haben ein erstes UEFI-Rootkit in der freien Wildbahn entdeckt, das mit dem Namen Lojax versehen wurde. UEFI-Rootkits gelten als besonders gefährliche Malware, da sie sich nicht auf der Festplatte einnisten und so mit konventionellen Säuberungsmassnahmen nicht beseitigt werden können.
Bis anhin wurden UEFI-Rootkits laut Eset nur in Machbarkeitsstudien festgestellt. Nun wurden aber über eine Malware-Kampagne der Hackergruppe Sednit ATP UEFI-Rootkits erfolgreich auf angegriffene PCs aufgespielt. Wie Eset
mitteilt, ergaben die Untersuchungen, dass es den Kriminellen gelungen sei, ein schädliches UEFI-Modul in den SPI-Flash-Speicher eines Computers zu programmieren, womit während dem Boot-Prozess Malware ausgeführt werden kann. Dem Schädling lässt sich dadurch kaum zu Leibe rücken, da er weder durch die Neuinstallation des Betriebssystems, noch durch den kompletten Austausch der Festplatte beseitigt werden kann. Einzig durch ein erneutes Flashen des SPI-Speichers lässt sich das UEFI säubern. Eine ausführliche Beschreibung der Lojax-Funktionsweise stellt Eset in einem
Whitepaper zur Verfügung.
Laut Eset kann man sich vor dem jetzt gesichteten UEFI-Rootkit durch eine Aktivierung der Secure-Boot-Funktion im BIOS schützen. Damit werden nur korrekt signierte Firmware-Komponenten geladen, was bei der UEFI-Malware offenbar nicht der Fall ist.
(rd)