2min

De gifbeker van Hacking Team is nog niet leeg, nog lang niet zo lijkt het, want het ene na het andere beveiligingsprobleem wordt nog steeds gevonden in de datadump van 400GB. Nu is er een uefi-rootkit aangetroffen waarmee systemen die voorzien zijn van de Insyde-bios kunnen worden geïnfecteerd.

Trend Micro heeft in de datadump van Hacking Team nu ook een uefi-rootkit aangetroffen waarmee de firmware van biosfabrikant Insyde kan worden geïnfecteerd. Deze bios wordt onder andere door Dell, HP en Lenovo gebruikt, toevallig net de drie grootste pc-fabrikanten ter wereld. De kans is echter groot dat de rootkit ook werkt op bios-firmware van American Megatrends Incorporated. Trend Micro was niet in staat om te controleren of huidige bios-versies van de fabrikanten nog gevoelig zijn voor de rootkit, dat is iets wat de bedrijven zelf moeten bevestigen of ontkennen.

Trend Micro dit niet testen omdat het alleen een presentatie heeft aangetroffen over de uefi-rootkit van Hacking Team en niet de rootkit zelf. Uit de presentatie blijkt dat er in principe fysieke toegang nodig is tot het systeem om de rootkit te installeren, maar het is niet uit te sluiten dat er inmiddels een methode is ontwikkeld die ook op afstand is te installeren.

Het infecteren van een bios is de meest hardnekkige vorm van malware, aangezien de malware dan in een computerchip wordt weggeschreven waardoor het herinstalleren van het besturingssysteem of het vervangen van de harde schijf geen oplossing biedt. Alleen het opnieuw installeren van een originele biosversie kan dan nog een oplossing brengen, maar in sommige gevallen zorgen de rootkits ervoor dat het overschrijven van de bios niet meer mogelijk is, waardoor het hele moederbord vervangen moet worden.

Elke keer als de computer wordt opgestart controleert de bios of het Windows-systeem nog is geïnfecteerd, indien dit niet het geval is wordt er een bestand weggeschreven op de harde schijf dat vervolgens automatisch wordt opgestart.

Trend Micro raadt aan om in elk geval de bios te updaten naar de meest recente versie, Secure Flash in te schakelen en eventueel een bios-wachtwoord. Op die manier kan de bios niet meer zo makkelijk worden overschreven.