Ein Fehler in der UEFI-Implementierung ermöglicht es, Malware oder Trojaner auf Gigabyte-Mainboards im UEFI zu installieren. Kam Ende April auf der BlackHat Asia 2017-Konferenz heraus.
Anzeige
Die Information ist nun schon eine Woche alt, ich komme aber erst heute dazu, diese hier im Blog zu veröffentlichen. Auf der BlackHat Asia 2017-Sicherheitskonferenz haben Sicherheitsforscher von Cylance demonstriert, wie sich zwei Sicherheitslücken in der Firmware der für kompakte Systeme verwendeten Gigabyte BRIX-Mainboards missbrauchen lassen. Sie konnten Schadcode, den sie im Rahmen eines proof-of-concept entwickelt hatten, während einer Demo im UEFI des Boards installieren. Die UEFI Ransomware verhinderte dann das Booten des BRIX-Boards.
Die Forscher gaben an, dass sich das Konzept auch verwenden ließe, um ein Rootkit in der UEFI-Firmware zu verankern. Diese Schadsoftware könnte dann für Jahre unentdeckt auf dem System zurückbleiben, da sie ein Formatieren der Festplatte und Neuaufsetzen des Systems übersteht.
Das Ganze bezieht sich zur Zeit auf die Gigabyte Mainboards GB-BSi7H-6500 (Firmware Version vF6) und GB-BXi7-5775 (Firmware Version vF2). Gigabyte plant eine Aktualisierung der Firmware bereitzustellen, um diese Lücken zu schließen. Details lassen sich bei Cylance und bei Bleeping Computer nachlesen.
(Quelle: Cylance)
So ganz neu ist diese Geschichte aber nicht – vielmehr reisen die Leute von Cylance mit der Geschichte herum. Ich hatte bereits im Februar 2017 im Artikel UEFI/BIOS-Infektion per Ransomware – Proof of concept über das Konzept berichtet.
Ähnliche Artikel:
Fehlerhafter Windows-Update UEFI-Patch killt Minix-PC
Microsoft modifiziert November-Security Update for Boot Manager (3193479) wegen Lenovo UEFI-Bug
Warnung: Windows Server hängen nach UEFI-Secure-Boot November 2016-Update
2015
