Onderzoekers van antivirusbedrijf Kaspersky hebben UEFI-malware op het moederbord van een aangevallen systeem ontdekt. Doordat de malware zich bevindt in het SPI-flashgeheugen kan het het formatteren van de harde schijf of installatie van een nieuwe harde schijf overleven. Volgens de onderzoekers gaat het om de "meest geavanceerde" UEFI-malware ooit in het wild ontdekt.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

Het doel van de malware is het aanpassen van de opstartvolgorde, zodat er een malafide driver binnen Windows wordt geladen. Deze driver wordt automatisch gestart bij het laden van Windows. Vervolgens downloadt de driver aanvullende malware. De infectieketen laat geen sporen achter op de harde schijf, aangezien alle onderdelen alleen in het geheugen draaien. Hoe aanvallers de UEFI-firmware wisten te infecteren is onbekend. De malware werd bij één niet nader genoemde organisatie aangetroffen.

Kaspersky stelt dat het hier om een zeer gerichte aanval gaat uitgevoerd door een spionagegroep genaamd APT41. Deze groep, die ook bekendstaat als Winnti en Barium, houdt zich bezig met diefstal van broncode, certificaten om software te signeren, klantgegevens en bedrijfsinformatie. Volgens de onderzoekers probeerden de aanvallers met de UEFI-malware informatie van bepaalde machines te stelen.

Het is tegenwoordig toch normaal dat je UEFI bios drivers op je opstart schijf zet? ARMOURY CRATE heet dit bij Asus. Andere fabrikanten kunnen er weer een andere naam voor hebben. Het is een standaard van Microsoft dus het zal in alle toekomstige moederborden zitten. Als je het niet leuk vindt heb je niet op zitten letten.

Huh? UEFI is toch een Intel dingetje wat we moesten gaan gebruiken omdat het zo veel malen veiliger zou zijn dan het oude BIOS? Tja, Intel en veilig zijn altijd een contradictus in terminus geweest met hun achterdeurtjes in de ME (AMT). Nu bij versie 12 van hun processoren is de vraag wanneer de nieuwe achterdeuren gevonden zullen worden want er gaan teveel stemmen op bij legio overheden om van die rottige encryptie af te komen wat door al dat plebs(=criminelen) gebruikt wordt. Wetgeving zit dat alleen nog in de weg en de nevenschade voor overheden zelf is te groot bij een eventueel verbod. Wat als er volledige toegang tot alle pc's wereldwijd mogelijk is door nieuwe processoren uit te brengen waarbij er onder water volledig inzage is in wat die criminelen allemaal aan het doen zijn.Win Win toch? Ff vragen of Intel nog een lowlevel achterdeurtje beschikbaar heeft.

Door Anoniem: Huh? UEFI is toch een Intel dingetje wat we moesten gaan gebruiken omdat het zo veel malen veiliger zou zijn dan het oude BIOS?...

Dat is waar. Maar als je security niet goed doet, dan wordt het te beperkend en daar moest nou eenmaal omheen gewerkt worden.

Een complete afgang, dit.

Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.

Door Anoniem: Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.

...en vervolgens moet je alsnog wachten op de discovery, enumeratie en initialisatie van de meeste HW, en eventueel ook nog de RAM check voordat je op de console kan inloggen. Met een beetje pech zit je dan nog steeds enkele tot 10 minuten te wachten als je server flink wat HW en RAM aan boord heeft.

Verder valt er nog wel wat meer aan te merken.

1. Je kan de MS Secure boot keys of certificates uit de UEFI Secute Boot database gooien en je eigen vertrouwde keys invoegen; google UEFI Secure Boot roll your own keys maar eens.
2. Die "Dit is het einde van UEFI" doemverhalen en aanverwante praat horen we al jaren uit de hoek van het LinuxBIOS // Coreboot // Linuxboot guys kamp maar in de praktijk is daar maar zeer weinig van te merken. Sterker nog, als de gehele ICT wereld opeens van de ene op de andere dag zou overstappen op RISC-V (laat dat dan AUB gelijk de rv128i CPU mode versie zijn), dan nog blijft UEFI als FW spec gemeengoed, want in de UEFI spec zijn de CPU bindings voor RISC-V al sinds versie (>)2.7 formeel gedefinieerd, en zowel de EDK2 UEFI implementatie codebase àls de RICS-V ISA spec zijn onder de BSD licentie vrijgegeven.
3. Het artikel van Kaspersky zegt dat de UEFI malware zich in de SPI Flash opslag genesteld had. Wat dus naar alle waarschijnlijkheid betekent dat de mobobouwer in de door hen geschreven en gebruikte UEFI implementatie niet als allereerste de lockbits in de MSRs voor toegang tot de FW image in SPI gezet heeft als onderdeel van de opstartprocedure. Als je al read-write toegang tot de SPI Flash hebt weten te bemachtigen is het sowieso "GAME OVER; ur totally p0wnd", of je nou van een ouderwets x86 PC BIOS, LinuxBIOS//CoreBoot, UEFI, of OpenFirmWare image af boot.

Door Anoniem: Dit is het einde van UEFI. Ik gebruik https://www.linuxboot.org/ voor al mijn server. Starten in een fractie van een sec op en geen attribuutloze fat partities en MS certificates.

Daar heb je weer één met z'n Linux, daar gaat het hier niet over....

Jazeker wel. Veel Linux distro's hebben last van UEFI .

Dit probleem is jaren geleden al geadresseerd. Are there EUFI exploits? The only Fix? A shredder.
https://www.youtube.com/watch?v=iffTJ1vPCSo
Een lastige klus om die EUFI firmware er uit te mieteren, maar resultaat; startup chromebook met browser in 3 sec.

Toch jammer van al die Linux "gurus" die het probleem duidelijk niet begrijpen en met allerlei grappig bedoelde (dat hoop ik dan maar) opmerkingen komen.
Maar niet geremd door kennis kun je natuurlijk van alles ongestraft roepen :)

Door Anoniem: Toch jammer van al die Linux "gurus" die het probleem duidelijk niet begrijpen en met allerlei grappig bedoelde (dat hoop ik dan maar) opmerkingen komen.
Maar niet geremd door kennis kun je natuurlijk van alles ongestraft roepen :)

Toch jammer dat die windows eufi guru's niks kunnen onderbouwen. Mijn chromebook start trouwens in 2 sec op. Interessante link van walmare.

Is dit niet typisch iets waar Microsoft "pluton" voor kan gebruiken? TPM op de CPU die tampering van UEFI kan detecteren?