Ga naar inhoud

Microsoft waarschuwt organisaties voor aanvallen met BlackLotus-bootkit

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Microsoft waarschuwt organisaties voor aanvallen met de BlackLotus UEFI-bootkit en heeft advies uitgebracht om besmette systemen te vinden en herstellen. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen.

Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Iets wat ook Microsoft stelt. "UEFI-bootkits zijn met name gevaarlijk, omdat ze tijdens het opstarten van de computer draaien, voordat het besturingssysteem wordt geladen, en kunnen daardoor verschillende beveiligingsmechanismes zoals BitLocker, hypervisor-protected code integrity (HVCI) en Microsoft Defender Antivirus uitschakelen."

Onlangs rapporteerde antivirusbedrijf ESET over de BlackLotus UEFI-bootkit die op internet te koop wordt aangeboden. De bootkit maakt gebruik van een kwetsbaarheid in Windows (CVE-2022-21894) voor het omzeilen van UEFI Secure Boot en het plaatsen van malafide bestanden in de EFI-systeempartitie (ESP) die door de UEFI-firmware worden geladen. Hierdoor kan de bootkit onder andere BitLocker en Microsoft Defender uitschakelen.

Microsoft kwam vorig jaar januari met een beveiligingsupdate voor de kwetsbaarheid. Misbruik is volgens ESET nog steeds mogelijk omdat de kwetsbare Windows-bestanden die worden gebruikt voor het omzeilen van Secure Boot niet op de UEFI Revocation List zijn geplaatst. Deze lijst bevat een overzicht van eerdere, goedgekeurde en gesigneerde firmware en software gebruikt voor het opstarten van systemen waarop Secure Boot staat ingeschakeld.

In een nieuw document over de BlackLotus-bootkit laat Microsoft zien hoe besmette systemen zijn te identificeren. Mochten systemen inderdaad zijn besmet, adviseert het techbedrijf om de geïnfecteerde computer uit het netwerk te verwijderen en zowel de OS-partitie als EFI-partitie te formatteren of vanuit een schone back-up te herstellen

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.