CISA waarschuwt voor een aanval die een onderdeel misbruikt dat iedere computer bevat: de bootloader. Een type malware doet de ronde dat zich richt op de Unified Extensible Firmware Interface (UEFI).
UEFI-gebaseerde malware werd al gebruikt in de BlackLotus-campagne. Deze campagne kwam in april op de radar van cybersecurity-onderzoekers bij Microsoft. De aanval zou extra aandacht verdienen door het schadelijke karakter. UEFI-bootkits draaien namelijk tijdens het opstarten van de computer en komen zo in actie voordat het besturingssysteem zelf inlaadt. De malware is daardoor in staat om beveiligingsmechanismen uit het besturingssysteem uit te schakelen.
De malware zal daarom niet automatisch een melding van een geïnstalleerde beveiligingstool uitlokken. Om zelf te controleren of een toestel besmet is met UEFI-malware raadt Microsoft aan om de bestanden in de bootloader na te kijken op recente activiteiten en te controleren of er recent aanpassingen werden gemaakt in de Windows Registry-sleutels.
‘Nog in leermodus’
Hoewel het onderzoek van Microsoft al van april dateert, is de aanval vandaag nog wel degelijk relevant. Het Cybersecurity and Infrastructure Security Agency (CISA) roept in een recente blog namelijk op om UEFI-cybersecurity onmiddellijk te versterken. “UEFI is essentieel voor de meeste computers, het vervangt het oude BIOS-formaat.”
Probleem is alleen dat beveiliging en onderzoekers nog niet ingespeeld zijn op dit type malware: “De cyberbeveiligingsgemeenschap en UEFI-ontwikkelaars lijken nog steeds in de leermodus te zijn.”
De blog geeft aan dat er maatregelen bestaan om de malware van een apparaat te houden. Het probleem is alleen dat deze maatregelen nog niet breed gedragen worden. Het gaat om security-by-design-principes en het gebruik van moderne incidentresponsemaatregelen. Microsoft geeft mee dat bedrijven zichzelf beter kunnen beschermen tegen de malware door alle Windows recovery media te updaten en bij te blijven met de nieuwste OS-updates.
Toestel vervangen na infectie
Het is wel degelijk mogelijk om te controleren of een toestel besmet is, maar een oplossing bestaat niet. De malware overleeft als een toestel volledig opnieuw wordt opgestart, maar ook als het besturingssysteem opnieuw wordt geïsntalleerd. Zelfs de vervanging van een hardware-component biedt geen oplossing.
Hackers krijgen de malware alleen niet eenvoudig op je pc. Enkel een apparaat waar een hacker al toegang toe had of bij fysieke toegang, kan de malware worden geïnstalleerd.
Lees ook: MSI-lek ondermijnt UEFI/BIOS-security, wat doe je ertegen?
16 uur geleden
