Am Dienstag, dem 9. Mai 2023 hat Microsoft im Rahmen seines monatlichen Patchdays Updates für Windows 10, 11 und Windows Server veröffentlicht. Diese Updates beheben eine schwerwiegende Sicherheitslücke im UEFI-BIOS, die es Angreifern ermöglicht, Sicherheitsfunktionen wie Secure Boot, VBS (Virtualization Based Security), BitLocker und Defender zu umgehen. Die Sicherheitslücke trägt den Namen CVE-2023-24932 und wird auch als BlackLotus UEFI Bootkit bezeichnet.
Was ist BlackLotus und warum ist es so gefährlich?
BlackLotus ist eine Malware, die sich im UEFI-BIOS eines Computers einnistet und von dort aus das Betriebssystem manipulieren kann. Das UEFI-BIOS ist die Firmware des Mainboards, die den Bootvorgang des Computers steuert. Eine der wichtigsten Funktionen des UEFI-BIOS ist Secure Boot, ein Sicherheitssystem, das verhindert, dass Schadsoftware auf das Gerät gelangt. Secure Boot überprüft die digitale Signatur jedes Bootloaders und startet nur solche, die von vertrauenswürdigen Quellen stammen.
BlackLotus nutzt eine mehr als ein Jahr alte Sicherheitslücke aus (CVE-2022-21894), die Microsoft bereits im Januar 2022 mit einem Update behoben hatte. Trotzdem ist der Missbrauch dieser Schwachstelle immer noch möglich, wenn die betroffenen Binärdateien immer noch nicht zur UEFI-Sperrliste (DBX) hinzugefügt wurden. Die DBX oder Secure Boot Forbidden Signature Database ist eine Datenbank, die ungültige oder widerrufene Signaturen enthält und vom UEFI-BIOS beim Booten überprüft wird. BlackLotus bringt seine eigenen Kopien von anfälligen Binärdateien auf das System und startet sie mit gültiger Signatur.
Dadurch kann BlackLotus Secure Boot umgehen und sich dauerhaft im Rechner einnisten. Von dort aus kann es Sicherheitsmechanismen des Betriebssystems wie VBS (Virtualization Based Security), BitLocker und Defender deaktivieren. VBS ist eine Funktion von Windows 10 und 11, die sensible Daten und Prozesse in einer isolierten virtuellen Umgebung schützt.
Was sollten Nutzer jetzt tun?
Mit dem Patchday im Mai 2023 hat Microsoft damit begonnen, das Sicherheitsupdate für CVE-2023-24932 auszurollen. Microsoft empfiehlt, das aktuelle Sicherheitsupdate zu installieren auf allen unterstützten Systemversionen und die Geräte danach neu zu starten, bevor Dateien zur Sperrliste hinzugefügt werden. Daraufhin empfiehlt Microsoft, neue Boot-Medien mit den Patches vom 9. Mai zu erstellen. Nachdem die Updates eingespielt sind, können Nutzer die Code Integrity Boot Policy sowie die Secure Boot UEFI Forbidden List aktualisieren mit zwei Kommandozeilenbefehlen, die Microsoft auf seiner Support-Seite detailliert erklärt.
Bildquelle: Eclypsium
