Een team van onderzoekers van het beveiligingsbedrijf Cylance demonstreerde een concept van een ransomware-programma dat werkt vanuit de Unified Extensible Firmware Interface (UEFI-BIOS) op het moederbord.
De UEFI is een verbeterde versie van het aloude BIOS, de firmware op het moederbord die het besturingssysteem de hardwarecomponenten in een computer laat aanspreken.
Op vrijdag onthulde Cylance de beveiligingslekken op de Black Hat Asia conferentie, door een demonstratie op twee ultra compact computers van de Taiwanese computer fabrikant Gigabyte Technology. De twee beveiligingslekken kunnen worden misbruikt op de modellen GB-BSi7H-6500 en GB-BXi7-5775 van Gigabyte’s Mini-PC series.
Het staat de aanvaller toe om gevaarlijke code te installeren in de System Management Mode (SMM), een speciaal deel van de CPU dat software van kleine omvang kan uitvoeren.
UEFI-beveiligingslekken zijn niet nieuw en er worden vaker fouten ontdekt in de firmware. Deze zijn erg waardevol voor criminelen omdat een virus niet kan worden verwijderd bij het herinstalleren van het besturingssysteem. Met de ransomware wordt het opstarten van de computer geblokkeerd. De gebruiker wordt vervolgens aangemoedigd om te betalen om weer toegang te krijgen tot hun pc.
Een nadeel van UEFI-lekken voor criminelen is dat ze vrijwel nooit werken op een groot aantal computers, omdat de fabrikanten allemaal eigen versies maken van hun UEFI-bios, die ook op maat is gemaakt per systeem. Ransomware op je moederbord zal in de meeste gevallen betekenen dat het complete moederbord moet worden vervangen, omdat er simpelweg geen toegang meer is tot de computer.