LoJax UEFI Trojaner gesichtet

RyzA

RyzA

PCGH-Community-Veteran(in)
Hallo!


Es wurde ein neuer Trojaner entdeckt welcher sich ins UEFI Bios einnisten kann:

Der Antivirenspezialist Eset hat zum ersten Mal ein UEFI-Rootkit entdeckt, das bereits beim Start des Rechners geladen wird und eine Ebene unter dem Betriebssystem agiert. Eset stellte die Schadsoftware am 27. September 2018 auf der Sicherheitskonferenz BlueHat von Microsoft vor. Voraussetzung für den Angriff ist ein älteres Gerät, dessen UEFI nicht aktualisiert wurde, sowie das Betriebssystem Windows. Der Angriff wird der Hackergruppe APT28 zugeordnet, die für ausgefeilte Hacks auf staatliche Institutionen bekannt ist. Die Software soll bisher in Ost- und Mitteleuropa zum Einsatz gekommen sein. Eine Adaption des Angriffs durch Kriminelle ist nicht auszuschließen.
Zum Vergrößern anklicken....
Quelle: LoJax: UEFI-Rootkit in freier Wildbahn gesichtet - Golem.de

Weitere Quellen:

Lojax: Der Spion, der aus dem BIOS kam |
heise Security

LoJax: Erstmals wurde ein UEFI-Rootkit in freier Wildbahn gefunden - WinFuture.de

Wenn man ein aktuelles Bios hat oder Secure Boot aktiviert kann man sich wohl dagegen schützen. Ich bin mal gespannt wie auch die ganzen Antivirenprogramm Hersteller reagieren werden. So dass der Trojaner schon vorher erkannt und abgefangen werden kann. Es wurde auch schon im Fernsehen gesagt, dass bereits im Darknet damit fleissig gedealt wird und auf Anfragen Kits mit Schadcode zur Verfügung gestellt werden.
 
Zuletzt bearbeitet:
AW: LoJax UEFI Virus gesichtet

jup auch schon in der Bild online gelesen. Wird ja immer besser mit den Viren, wie soll man sich da nur noch schützen am besten kein Internet.
Was mich nur bissel Wunder das ETS oder so den als einzige entdeckt haben.
 
Voraussetzung für den Angriff ist ein älteres Gerät, dessen UEFI nicht aktualisiert wurde, sowie das Betriebssystem Windows.
Zum Vergrößern anklicken....

Das ist ein grosses Problem, weil 1. der Normale Nutzer nicht mal weiss was UEFI ist und 2. auch nicht daran denkt das es mal ein Update benötigen könnte. Hier im Forum werden wohl die meisten einen Halbwegs aktuellen PC mit entsprechendem aktuellem UEFI besitzen, aber der Normale Nutzer kauft sich einen PC für 10 Jahre oder länger, das auch noch kaum mit Updates versorgt wird, ausser Windowsupdates.
 
habe auch noch nie ein UEFI Update gemacht weil vom Hersteller nix mehr gekommen ist, das letzte war von 2013 und Beta Teile nin danke.
Hatte mir auch mal ein Board mit einem Bios Flash geschrottet erst ging mach Flash ging nix mehr.

Wo kann man seine aktuelle Vers. eigentlich einsehen?
 
Na ein glück für mein Z170 bord von MSI habs erst vor ein paar Monaten ein update.
Aber UEFI nutze ich eh nicht nur Legacy-BIOS-Modus.
Macht mir zu viele probleme und schneller wirds auch nicht also wo zu.
 
Glaub für meine 2 ist letzten Monat ein neues erschienen. Hab das März oder so drauf.
Bissel lässtig ist das schon wen jeden 3. Monat ein neues Update kommt.
Und jetzt noch Uefi Trojaner..shit fucking car
Da kann man ja nur den Chip tauschen wenn das geht um den loszuwerden.
Ich hab seit Jahren ESET als AV Software.
 
Zuletzt bearbeitet:
Gibt es da nicht so etwas wie Write Protect, sodas da nichts geschrieben werden kann?
Ich könnte mir auch vorstellen, dass der EFI-Bootmanager eine Problem ist, denn der Muss ja beschrieben werden können.
 
SecureBoot schützt davor wahrscheinlich nicht, wenn das UEFI selbst kompromittiert ist. Denn dann gibt es sowohl die Möglichkeit, dass die Malware auf der Whitelist eingetragen wurde, als auch dass die Prüfroutine des SecureBoot manipuliert wurde.
Schutz bietet wohl nur eine Systemverschlüsselung, die verhindert, dass die Rootkits ins Dateisystem geschrieben werden.

Headcrash schrieb:
Ich bin mal gespannt wie auch die ganzen Antivirenprogramm Hersteller reagieren werden.
Zum Vergrößern anklicken....
Antivierenprogramme können gegen den Schadcode im UEFI selbst nichts ausrichten, da sie da nicht rankommen.
Die können nur den Schadcode löschen, der bei jedem Boot neu ins Dateisystem injiziert wird.
 
DKK007 schrieb:
Antivierenprogramme können gegen den Schadcode im UEFI selbst nichts ausrichten, da sie da nicht rankommen.
Die können nur den Schadcode löschen, der bei jedem Boot neu ins Dateisystem injiziert wird.
Zum Vergrößern anklicken....
Ja aber bevor er ins Bios gelangt muß er ja schon woanders irgendwo (zwischen) gespeichert werden. Oder nicht?:what:
 
Zuletzt bearbeitet:
Gamer090 schrieb:
Das ist ein grosses Problem, weil 1. der Normale Nutzer nicht mal weiss was UEFI ist und 2. auch nicht daran denkt das es mal ein Update benötigen könnte. Hier im Forum werden wohl die meisten einen Halbwegs aktuellen PC mit entsprechendem aktuellem UEFI besitzen, aber der Normale Nutzer kauft sich einen PC für 10 Jahre oder länger, das auch noch kaum mit Updates versorgt wird, ausser Windowsupdates.
Zum Vergrößern anklicken....

Nur weil man sich halbwegs auskennt und "Qualitäts-Hardware" gekauft hat, ist man noch lange nicht aus dem Schneider.

Mein altes Haswell Z87 Board von MSI ist keine Billigschleuder gewesen und trotzdem kommen die mit ihren Biosupdates nicht in die Puschen.
Es gibt bis jetzt noch keines gegen Spectre.
Ich zweifle inzwischen daran das es "überhaupt" noch eines von denen geben wird.

Die sagen zwar, dass dran gearbeitet wird. Aber einen Status zum Stand der Arbeit und wann geplant ist welches Board zu überarbeiten, das sagen sie einem nicht.

Also geh ich erstmal davon aus, dass die Lücke schonmal drinne bleibt...

Ok, darüber geht jetzt kein ausführbarer Code, kann man aber auch mehr als glücklichen Zufall bezeichnen, die Lücke hätte auch anders aussehen können und wäre dann trotzdem immer noch nicht gepatched.

Secure Boot funktionierte bei mir auch noch nie, schon "ab Werk" nicht. Der fährt damit gar nicht mehr hoch, obwohl alles OK ist. Mein Tipp liegt auch hier darauf, dass die bei MSI was verbockt haben und die Funktion einfach nicht richtig arbeitet.

Eigentlich war ich immer sehr zufrieden mit dem Board, rein von der Funktionsweise und Stabilität her zumindest. Aber diese mieserable Kundenpflege und bescheidene Update Politik, hält mich z.B. ganz sicher davon ab nochmal ein Board von denen zu kaufen.

Aber zu welchem %-Satz gehör ich hier von den Usern dieser Mainboards? 1%? Oder vielleicht sogar eher 0,1%?
Inzwischen würde ich sogar eher auf letzteres Tippen.
Gerade bei der "jüngeren" Generation von PC Benutzern merk ich immer wieder, wie die schlicht gar keine Ahnung mehr haben und auch gar nicht wollen. Es soll "einfach nur funktionieren".
Sicherheitsrisiken sind denen schlicht und ergreifend mindestens egal.
Wobei ich davon überzeugt bin, dass die gar nicht begreifen (wollen) welche Folgen ihr Verhalten gepaart mit bösen Absichten eines Malware-Schreibers wirklich hat.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Geforce RTX 4060: MSI-Custom-Modell der Non-Ti-GPU gesichtet
Antworten
13
Aufrufe
1K
latiose88
L
Painkiller
Kritische Sicherheitslücken im UEFI-BIOS vieler Hersteller
Antworten
16
Aufrufe
5K
chill_eule
chill_eule
M
Kritischer Kernel-Power 41 Error
Antworten
18
Aufrufe
3K
Tamrocko
Tamrocko
IsoldeMaduschen
RansomEXX-Ransomware auf Linux
Antworten
3
Aufrufe
1K
MyticDragonblast
MyticDragonblast
Painkiller
Spectre Reborn: Neue CPU-Sicherheitslücke "I see dead µOps" entdeckt
Antworten
9
Aufrufe
4K
Wumpi747
W
Oben Unten
Zurück