Blacklotus UEFI-Bootkit kostenlos auf Github  Bild © MicrosoftBlacklotus UEFI-Bootkit kostenlos auf Github (Bild © Microsoft)

Secure Boot soll eigentlich verhindern, dass Angreifer in den Boot-/Startvorgang des Systems eingreifen können, bevor das Betriebssystem vollständig geladen hat. Neben dem Aushebeln von UEFI Secure Boot Mechanismen, kann Blacklotus auch noch Schutzmechanismen von Windows umgehen. Dazu kann es HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control), die Bitlocker-Boot-Sequenz sowie den Windows Defender umgehen.

Der Code auf Guthub soll jedoch nicht vollständig sein, wie Alex Matrosov berichtet, der der CEO der Security-Firma Binatly ist. Demnach ist das Rootkit und der Bootkit enthalten.

Backlotus Patchen

Die Tatsache, dass es nun Blacklotus für alle einsehbar auf Github gibt, ist ein echtes Problem und Risiko für Windows Nutzer. Angreifer können dieses Bootkit nun direkt einsetzen, denn viele Windows Systeme sind nicht gepatcht. Sie nutzen dabei die Sicherherheitslücke, die unter dem CVE-2023-24932 geführt wird. Microsoft hat hierfür aber einen Patch erstellt aber nicht aktiviert. vorerst inaktiv. Betroffene Nutzer müssen den Patch selbst per Hand installieren, um der Gefahr gewappnet zu sein.

Warum ist der Patch inaktiv?

Mit der Installation des Patches werden viele ältere Bootmedien nicht mehr verwendbar. Darunter fallen Windows-Installationsdatenträger, wie DVDs aber auch USB-Sticks. Schlimmer ist aber, dass auch System-Backups, Wiederherstellungsmedien von PC-Herstellern oder Netzwerk-Bootmedien auch nicht länger funktionieren. Microsoft befürchtet auch, dass das Sicherheitsupdate manche Windows-Systeme betrffen wird,d ie nicht mehr booten werden.

Geplant ist, dass das Update ab ersten Quartal 2024 aktiv geschaltet wird. Solange sind die ganzen ungepatchten Systeme offen und angreifbar. Microsoft hat eine Anleitung beriegestellt, um den Patch zu aktivieren.