2min

Tags in dit artikel

, , , ,

ITSEC, een privébeveiligingsbedrijf, heeft een proof-of-conceptbootkit gemaakt die de UEFI-firmware en Windows 8 aanvalt.

De Unified Extensible Firmware Interface, of UEFI, is de opvolger van de BIOS. ITSEC ging het UEFI-platform analyseren nadat Microsoft in Windows 8 ondersteuning voor dit platform ging bieden. Het lukte Andrea Allievi, senior security researcher bij het bedrijf, om een bootkit te maken speciaal gericht op Windows 8 en UEFI.

De bootkit overschrijft de legitieme Windows 8-bootloader, waardoor beveiligingsmechanismen omzeild kunnen worden. "Onze bootloader haakt in op de UEFI-disk I/O-routines en onderschepte het laden van de Windows 8-kernel. De bootkit knoeit met de kernel door beveiligingsfuncties van Windows uit te schakelen zodat niet-ondertekende drivers geladen kunnen worden", zo vertelt Marco Giuliani, directeur bij ITSEC.

De bootkit gebruikt dezelfde techniek als master boot record-rootkits, die systeembestanden van oudere Windows-versies overschrijven om tijdens het opstarten ongezien de computer over te nemem. Bootkits die in staat zijn om Windows 8 over te nemen bestaan al sinds november, maar pas nu kan ook UEFI omzeild worden.

Eerdere bootloaders en rootkits moesten worden ontwikkeld in assembly. UEFI maakt het ontwikkelen van systeemloaders echter eenvoudiger, omdat de C-programmeertaal gebruikt kan worden. "Ons onderzoek probeert aan de industrie te laten zien dat UEFI net zo onveilig is als het oude BIOS", zo vertelt Giuliani. "Het schrijven van een bootkit kon niet eenvoudiger zijn voor virusschrijvers met de beschikbaarheid van het UEFI-framework, wat veel makkelijker is dan het programmeren in puur assembly."

Alleen als SecureBoot is ingeschakeld, is het systeem niet vatbaar voor dit probleem. Echter, hoewel die functie vanuit beveilgingsperspectief wenselijk is, beperkt dat wel zeer de keuze van de gebruiker, omdat alleen dan ondertekende besturingssystemen opgestart kunnen worden.

Overigens was er al een UEFI-bootkit die OS X infecteerde. Deze werd op BlackHat-conferentie van afgelopen jaar onthuld.