image

Onderzoekers vinden UEFI-malware op moederbord aangevallen systeem

donderdag 20 januari 2022, 15:26 door Redactie, 11 reacties

Onderzoekers van antivirusbedrijf Kaspersky hebben UEFI-malware op het moederbord van een aangevallen systeem ontdekt. Doordat de malware zich bevindt in het SPI-flashgeheugen kan het het formatteren van de harde schijf of installatie van een nieuwe harde schijf overleven. Volgens de onderzoekers gaat het om de "meest geavanceerde" UEFI-malware ooit in het wild ontdekt.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

Het doel van de malware is het aanpassen van de opstartvolgorde, zodat er een malafide driver binnen Windows wordt geladen. Deze driver wordt automatisch gestart bij het laden van Windows. Vervolgens downloadt de driver aanvullende malware. De infectieketen laat geen sporen achter op de harde schijf, aangezien alle onderdelen alleen in het geheugen draaien. Hoe aanvallers de UEFI-firmware wisten te infecteren is onbekend. De malware werd bij één niet nader genoemde organisatie aangetroffen.

Kaspersky stelt dat het hier om een zeer gerichte aanval gaat uitgevoerd door een spionagegroep genaamd APT41. Deze groep, die ook bekendstaat als Winnti en Barium, houdt zich bezig met diefstal van broncode, certificaten om software te signeren, klantgegevens en bedrijfsinformatie. Volgens de onderzoekers probeerden de aanvallers met de UEFI-malware informatie van bepaalde machines te stelen.

Image

Reacties (11)
20-01-2022, 15:46 door Anoniem
Het is tegenwoordig toch normaal dat je UEFI bios drivers op je opstart schijf zet? ARMOURY CRATE heet dit bij Asus. Andere fabrikanten kunnen er weer een andere naam voor hebben. Het is een standaard van Microsoft dus het zal in alle toekomstige moederborden zitten. Als je het niet leuk vindt heb je niet op zitten letten.
20-01-2022, 20:15 door Anoniem
Huh? UEFI is toch een Intel dingetje wat we moesten gaan gebruiken omdat het zo veel malen veiliger zou zijn dan het oude BIOS? Tja, Intel en veilig zijn altijd een contradictus in terminus geweest met hun achterdeurtjes in de ME (AMT). Nu bij versie 12 van hun processoren is de vraag wanneer de nieuwe achterdeuren gevonden zullen worden want er gaan teveel stemmen op bij legio overheden om van die rottige encryptie af te komen wat door al dat plebs(=criminelen) gebruikt wordt. Wetgeving zit dat alleen nog in de weg en de nevenschade voor overheden zelf is te groot bij een eventueel verbod. Wat als er volledige toegang tot alle pc's wereldwijd mogelijk is door nieuwe processoren uit te brengen waarbij er onder water volledig inzage is in wat die criminelen allemaal aan het doen zijn.Win Win toch? Ff vragen of Intel nog een lowlevel achterdeurtje beschikbaar heeft.
21-01-2022, 09:25 door Anoniem
Door Anoniem: Huh? UEFI is toch een Intel dingetje wat we moesten gaan gebruiken omdat het zo veel malen veiliger zou zijn dan het oude BIOS?...
Dat is waar. Maar als je security niet goed doet, dan wordt het te beperkend en daar moest nou eenmaal omheen gewerkt worden.

Een complete afgang, dit.
21-01-2022, 15:07 door Anoniem
Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.
21-01-2022, 17:09 door Anoniem
Door Anoniem: Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.

...en vervolgens moet je alsnog wachten op de discovery, enumeratie en initialisatie van de meeste HW, en eventueel ook nog de RAM check voordat je op de console kan inloggen. Met een beetje pech zit je dan nog steeds enkele tot 10 minuten te wachten als je server flink wat HW en RAM aan boord heeft.

Verder valt er nog wel wat meer aan te merken.

1. Je kan de MS Secure boot keys of certificates uit de UEFI Secute Boot database gooien en je eigen vertrouwde keys invoegen; google UEFI Secure Boot roll your own keys maar eens.
2. Die "Dit is het einde van UEFI" doemverhalen en aanverwante praat horen we al jaren uit de hoek van het LinuxBIOS // Coreboot // Linuxboot guys kamp maar in de praktijk is daar maar zeer weinig van te merken. Sterker nog, als de gehele ICT wereld opeens van de ene op de andere dag zou overstappen op RISC-V (laat dat dan AUB gelijk de rv128i CPU mode versie zijn), dan nog blijft UEFI als FW spec gemeengoed, want in de UEFI spec zijn de CPU bindings voor RISC-V al sinds versie (>)2.7 formeel gedefinieerd, en zowel de EDK2 UEFI implementatie codebase àls de RICS-V ISA spec zijn onder de BSD licentie vrijgegeven.
3. Het artikel van Kaspersky zegt dat de UEFI malware zich in de SPI Flash opslag genesteld had. Wat dus naar alle waarschijnlijkheid betekent dat de mobobouwer in de door hen geschreven en gebruikte UEFI implementatie niet als allereerste de lockbits in de MSRs voor toegang tot de FW image in SPI gezet heeft als onderdeel van de opstartprocedure. Als je al read-write toegang tot de SPI Flash hebt weten te bemachtigen is het sowieso "GAME OVER; ur totally p0wnd", of je nou van een ouderwets x86 PC BIOS, LinuxBIOS//CoreBoot, UEFI, of OpenFirmWare image af boot.
21-01-2022, 19:49 door Anoniem
Door Anoniem: Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.
Daar heb je weer één met z'n Linux, daar gaat het hier niet over....
21-01-2022, 22:22 door Anoniem
Door Anoniem:
Door Anoniem: Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.
Daar heb je weer één met z'n Linux, daar gaat het hier niet over....
Jazeker wel. Veel Linux distro's hebben last van UEFI .
21-01-2022, 22:56 door walmare - Bijgewerkt: 21-01-2022, 23:13
Dit probleem is jaren geleden al geadresseerd. Are there EUFI exploits? The only Fix? A shredder.
https://www.youtube.com/watch?v=iffTJ1vPCSo
Een lastige klus om die EUFI firmware er uit te mieteren, maar resultaat; startup chromebook met browser in 3 sec.
22-01-2022, 15:25 door Anoniem
Toch jammer van al die Linux "gurus" die het probleem duidelijk niet begrijpen en met allerlei grappig bedoelde (dat hoop ik dan maar) opmerkingen komen.
Maar niet geremd door kennis kun je natuurlijk van alles ongestraft roepen :)
23-01-2022, 19:28 door Anoniem
Door Anoniem: Toch jammer van al die Linux "gurus" die het probleem duidelijk niet begrijpen en met allerlei grappig bedoelde (dat hoop ik dan maar) opmerkingen komen.
Maar niet geremd door kennis kun je natuurlijk van alles ongestraft roepen :)
Toch jammer dat die windows eufi guru's niks kunnen onderbouwen. Mijn chromebook start trouwens in 2 sec op. Interessante link van walmare.
23-01-2022, 22:18 door Anoniem
Is dit niet typisch iets waar Microsoft "pluton" voor kan gebruiken? TPM op de CPU die tampering van UEFI kan detecteren?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.