Mit dem UEFI Secure Boot und Windows 10 oder Windows 11, sollte eigentlich der Bootvorgang des Betriebssystems weitgehend geschützt sein. Ein Bootkit auf Basis von der bekannten Bedrohung BlackLotus soll in der Lage sein, die Sicherheitsmechanismen zu umgehen.
Bei der BlackLotus genannten Bedrohung handelt es sich um einen klassischen HTTP-Downloader, welcher im Hintergrund Daten herunterlädt und versucht diese zu installieren. Wie die der ESET-Forscher Marin Smolár feststellte, handelt es sich bei dem Bootkit allerdings um eine neue Bedrohung, welche die mehr als ein Jahr alte Sicherheitslücke (CVE-2022-21894) ausnutzt.
Obwohl die Schwachstelle bereits im Januar 2022 bekannt wurde, handelt es sich nun um die erste Malware, welche diese aktiv auch nutzt. Bedingt durch die noch immer gültigen Signaturen der Binärdateien können so System auch mit aktuellen Sicherheitsupdate und auch aktuellem BIOS von der Malware befallen werden.
BlackLotus ist dabei in der Lage bestimmte Sicherheitsmechanismen wie BitLocker, HVCI und Windows Defender zu deaktivieren und dann sich im Kernel einzunisten. Dabei wird zudem sichergestellt, dass eine Kommunikation mittels Command-and-Control-Server aufrecht gehalten wird und das System auch bei einem Neustart wieder mit dem Bootkit infiziert wird.
Das Bootkit ist nach aktuellen Informationen bereits seit Oktober 2022 in verschiedenen Untergrundforen angeboten worden und soll in den Gebieten Armenien, Belarus, Kasachstan, Moldawien, Russland oder der Ukraine bereits verwendet worden sein. Da das Toolkit für mehr als 5.000 US-Dollar verkauft wird, kann davon ausgegangen werden, dass noch nicht viele Cybercrime-Gruppierungen auf die Malware zugriff haben. Dies dürfte sich mit bekannt werden, der Angriffsmethode allerdings in Kürze ändern.
Making Memory for Memory Makers 
