image

Duitse overheid: geen paniek over UEFI-rootkit

vrijdag 28 september 2018, 16:16 door Redactie, 9 reacties

De ontdekking van een UEFI-rootkit die bij een daadwerkelijke aanval is gebruikt is geen reden tot paniek, zoals sommige media beweren. Dat stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Gisteren kwam anti-virusbedrijf ESET met het bericht dat het een UEFI-rootkit had ontdekt die herinstallatie van het besturingssysteem of het vervangen van de harde schijf kan overleven. De rootkit wordt namelijk in de UEFI-firmware geplaatst. Hierdoor wordt de rootkit voor het besturingssysteem geladen. Het nu waargenomen exemplaar laadde vervolgens een backdoor waarmee aanvallers op afstand controle over het systeem kregen.

Sommige media lieten weten dat het om een bijna niet te verwijderen "supervirus" ging dat miljarden computers in gevaar zou kunnen brengen, aldus het BSI. Volgens de Duitse overheidsorganisatie is dat niet het geval. Het BSI erkent dat de UEFI-rootkit lastiger is te verwijderen dan normale malware. Dit vereist namelijk het updaten van de firmware. Om de rootkit te installeren moet een aanvaller echter al de controle over een systeem hebben. Daarnaast kunnen beveiligingsmaatregelen zoals het inschakelen van Secure Boot de UEFI-rootkit tegengaan.

Verder stelt het BSI dat het hier om een APT (Advanced Persistent Threat )-aanval gaat. Dergelijke aanvallen zijn met name op bedrijven, instellingen en overheidsinstanties gericht. Misbruik van de UEFI-rootkit op grote schaal, waarbij eindgebruikers het doelwit zijn, is volgens het BSI onwaarschijnlijk. Dat geldt ook voor het gebruik van de backdoor die de rootkit op een besmet systeem laadt.

Reacties (9)
28-09-2018, 16:37 door Anoniem
onzin...
APT of niet, wanneer het masaal in te zetten is, dan zal het worden gebruikt in een worm uiteindelijk.
Duidelijk dat UEFI helemaal niets oplevert behalve problemen voor niet-windows systemen.
Immers, hardware boeren maken vrijwel nooit iets voor iets anders dan Windows, soms nog wat voor Apple, maar dit wist iedereen natuurlijk..

Bovendien, hoe harder overheids instanties roepen ' please move along, nothing to see here' hoe beter je moet kijken.
28-09-2018, 16:38 door Anoniem
Vermoedelijk misbruiken ze het zelf dus ga maar slapen mensen, alles onder controle wij houden wel een oogje in het zeil (op uw computers).....
28-09-2018, 16:41 door Anoniem
Zelf software matig zou een BIOS/UEFI virus bestreden kunnen worden.

0patch doet het met 3rd party programmas, die ze live met microcode patchen.

Bij een backdoor zoals dit zou je gewoon de malware die het installeert moeten monitoren, de backdoor kan immers niet makkelijk een up-to-date versie van de malware binnenhalen, wat beveiliging ertegen gemakkelijker maakt.
28-09-2018, 19:21 door Anoniem
GEEN PANIEK! We gebruiken dit alleen maar voor de Bundestrojaner. GEEN PANIEK, NIETS AAN DE HAND MENSEN.
30-09-2018, 06:42 door Anoniem
Gaat U maar rustig slapen, de regering waakt over U...

Sigh...

Waarschijnlijk dat de Duitse regering nu zijn offensive cyber-possibilities in rook ziet opgaan.

Ik zag dat ESET inmiddels de UEFI scant, anderen zullen wel snel volgen....Zal me niet verbazen als de Duitse overheid veel geld heeft uitgegeven voor deze 0-day die nu ineens bekend is,..
30-09-2018, 13:04 door spatieman
was er niet is in DE land met BundesTrojaner ?????
01-10-2018, 08:39 door Anoniem
De overheid zelf gebruikt niet eens deze apperatuur, dus het is onzin wat er gezegd wordt.
03-10-2018, 03:22 door Legionnaire
Het IT-beveiligingsbedrijf ESET publiceerde op 27.09.2018 een analyserapport over een UEFI-rootkit genaamd LoJax.
In sommige media was de malware u.a. beschreven als een "bijna onuitblusbaar supervirus" dat miljarden computers in gevaar zou kunnen brengen.
Deze beoordeling wordt niet gedeeld door het Federaal Bureau voor Informatiebeveiliging (BSI).
Het klopt dat LoJax zich diep in de computer nestelt en wordt uitgevoerd nog voor het daadwerkelijke besturingssysteem of de antivirussoftware is uitgevoerd.
Dit maakt detectie en verwijdering van de malware aanzienlijk moeilijker dan schadelijke programma's die van invloed zijn op het besturingssysteem.
Om LoJax helemaal te kunnen installeren, moet een dader de controle over de computer al hebben overgenomen, bijvoorbeeld door bekende kwetsbaarheden in het besturingssysteem te misbruiken.
De BSI-aanbevolen beveiligingsmaatregelen voor computer- en netwerkbeveiliging (IT-Grundschutz of www.bsi-fuer-buerger.de) bieden dus ook voldoende bescherming tegen de LoJax-rootkit die hier wordt beschreven.
Opgemerkt moet nog worden dat APT-aanvallen (Advanced Persistent Threat) een serieuze bedreiging vormen voor bedrijven, instellingen en overheidsinstellingen.
Bijbehorende beschermende maatregelen moeten daarom professioneel en consequent worden geïmplementeerd.
Een massale uitbreiding naar particuliere gebruikers wordt echter niet verwacht.
Dit geldt ook voor de huidige versie voor de malwarevariant LoJax.
13-10-2018, 11:11 door Anoniem
het is ook niet snel goed hier, te weinig zorg "ze laten ons in de steek", te veel zorg "ze maken ons bang"

ik denk dat het wel aardig klopt, de overdreven koppen over heel veel systemen gaat niet zo zijn en ze zeggen ook niet dat het niet gebruikt gaat worden, dus die link met eigen gebruik tja.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.