Prvi virus, ki se zapiše v UEFI
Po večletnih špekulacijah so varnostni raziskovalci v divjini našli prvi primer rootkita, ki se zapiše v UEFI. V podjetju ESET so na kongresu Chaos Communication Congress v Nemčiji, ki je potekal konec leta, predstavili LoJax, ki je prvi znani primer rootkita, ki domuje v nasledniku BIOS-a. S tem se efektivno postavi nad operacijski sistem in vztraja na okuženih računalnikih, četudi zamenjamo disk. Rešitev je prepis (flashanje) firmwara na matični plošči ali nakup nove.
O LoJaxu smo prvikrat pisali že oktobra lani. ESET je objavil objavil izčrpno poročilo o tej nesnagi. Na konferenci CCC ga je predstavljal Frédéric Vachon. LoJax je dobil ime po programu LoJack, ki se uporablja za iskanje ukradenih računalnikov. Tako kot se LoJack zapiše v UEFI, se tudi LoJax. Nastal je iz njega, saj so hekerji – predvidevajo, da gre za rusko skupino FancyBear / APT28 – izrabili malomarno zaščito v starejših verzijah tega programa. Tako so pridobili orodje, ki se lahko zapiše v UEFI.
SecureBoot, za katerega smo prvotno predvidevali, da bi težavo rešil, ni zdravilo za opisani napad. SecureBoot namreč ščiti vsebino SPI flasha pred zunanjimi vplivi, ne more pa ga očistiti, če se virus že naseli vanj. Obstajajo rešitve, ki kot zaupanja vredno vsebino štejejo strojno opremo - na primer Intel Boot Guard, ki pa ni vedno aktiven. Je pa SecureBoot način za zaščito pred okužbo, če je seveda posodobljen in vsebuje vse znane popravke.
Da gre za realen problem, pričajo tudi primeri okužb, ki jih je ESET že zaznal pri svojih strankah. Za zdaj je edina dobra novica to, da LoJax za okužbo potrebuje sodelovanje uporabnika, ki mora odpreti okuženo priponko. Če uspejo izkoristiti še kakšno ranljivost v modernih operacijskih sistemih in pripraviti samodejno okužbo z obiskom spletne strani (drive-by download), bo LoJax še nevarnejši. Vsi računalniki namreč nimajo (in nikoli ne bodo imeli) najnovejšega in posodobljenega UEFI-ja.