Business
Trending
TechPulse op WhatsApp Windows 10 Black Friday-deals Alles over elektrische fietsen
Nieuws
Joris Getteman

Microsoft lost slechts één van twee kritieke Secure Boot-exploits op

AI sleeper-agent
© iStock / Kanlaya Wanon
Onderzoekers hebben twee ernstige kwetsbaarheden ontdekt die het mogelijk maken om Secure Boot te omzeilen. Microsoft heeft voorlopig slechts één van de twee exploits verholpen.

De kwetsbaarheden zijn ernstig net omdat ze met Secure Boot te maken hebben. Secure Boot is namelijk een van de eerste en daardoor ook een van de belangrijkste beveiligingslagen van computers. Dat Microsoft met zijn nieuwste beveiligingsupdate voor Windows slechts één van de twee exploits wegwerkt, is dan ook zorgwekkend.

Wat is Secure Boot precies?

Secure Boot is een beveiligingsfunctie die ervoor zorgt dat computers bij het opstarten enkel vertrouwde software laden. Elk stukje software dat deel uitmaakt van de opstartketen heeft een digitale handtekening die is goedgekeurd door de fabrikant van het systeem. Als er met een van de softwareschakels in dat opstartproces geknoeid is, dan wordt het volledige opstartproces afgebroken en start de computer uit veiligheidsoverwegingen niet op.

Op deze manier vermijdt Secure Boot dat malware al stiekem actief kan zijn vanaf het moment dat je je computer opstart, zelfs nog voor het moment dat het besturingssysteem actief wordt. Het is dus een essentieel onderdeel van de beveiliging en is daarom tegenwoordig standaard actief op de meeste systemen.

Twee exploits

Zoals gezegd zijn rond Secure Boot recent twee nieuwe kwetsbaarheden ontdekt. De exploits maken het mogelijk om Secure Boot te omzeilen of uit te schakelen, waardoor het dus mogelijk is om malware al van bij het opstartproces aan de praat te krijgen. Een redelijk groot probleem dus, met als enige lichtpuntje het feit dat aanvallers in veel gevallen fysiek toegang moeten hebben tot een systeem om de kwetsbaarheden te kunnen uitbuiten. Daarna echter kan er, afhankelijk van de malware, natuurlijk wel gewoon van op afstand toegang verkregen worden tot de computer.

De eerste exploit gaat door het leven als CVE-2025-3052 en stelt aanvallers in staat om Secure Boot helemaal uit te schakelen. Het is deze exploit die inmiddels door Microsoft is verholpen, waarover later meer. We laten de heel technische details achterwege, maar de kwetsbaarheid zit hem concreet in een firmwarehulpprogramma van DT Research dat aanvankelijk bedoeld was voor een specifiek soort van extra stevige tablets. Het programma is echter ondertekend met het officiële UEFI-certificaat van Microsoft, waardoor het ook door alle computers met Secure Boot vertrouwd wordt. Aanvallers kunnen het hulpprogramma dus kapen en zo hun malware vermomd als vertrouwde software voorbij Secure Boot krijgen.

De tweede exploit is geïdentificeerd als CVE-2025-47827 en zit iets anders in elkaar. Bij deze exploit wordt misbruik gemaakt van een fout in een driver IGEL OS, een versie van Linux die bedoeld is voor erg licht gebruik. De driver controleert niet goed of bepaalde data wel geldig ondertekend is en dat maakt het mogelijk om een gemanipuleerd bestandssysteem in te laden tijdens het opstarten. Op deze manier kan dus een malafide versie van de IGEL-opstartsoftware ingeladen worden die door Secure Boot vertrouwd wordt.

Evil maid

Opnieuw: dit is ernstig, omdat de malware al van bij het opstartproces actief is en diep verankerd zit in het systeem. Vaak is de malware ook moeilijk te verwijderen, net omdat het zo diep in het systeem zit. Windows (of Linux, want ook daar wordt Secure Boot dus gebruikt) gewoon opnieuw installeren is vaak niet genoeg, omdat de malware zich buiten het besturingssysteem bevindt.

Het enige lichtpuntje is zoals gezegd het feit dat de aanvaller meestal fysiek toegang moet hebben tot het systeem. Daarom wordt een dergelijke aanval ook wel een “evil maid”-aanval genoemd, verwijzend naar een schoonmaakster met slechte bedoelingen die in een hotel stiekem aan je laptop prutst. Voor hackers is het dus niet meteen de makkelijkste manier om te werk te gaan.

Microsoft verhelpt één exploit, tweede is stuk complexer

Inmiddels heeft Microsoft een van de twee exploits verholpen via de Patch Tuesday-beveiligingsupdate van deze maand. CVE-2025-3052 wordt daarbij onschadelijk gemaakt doordat Microsoft het hulpprogramma van DT Research op een zwarte lijst heeft gezet. Computers die over de nieuwste update beschikken, zullen de software in kwestie voortaan niet meer vertrouwen tijdens het opstarten.

Voor de tweede kwetsbaarheid (CVE-2025-47827) is voorlopig nog geen oplossing uitgebracht. Dat komt natuurlijk omdat het probleem in de software van een derde partij zit en bovendien in een oudere versie die officieel niet meer ondersteund wordt. Dat maakt een oplossing complex. Microsoft zou de certificaten en handtekeningen kunnen intrekken die gebruikt zijn voor de oude, kwetsbare IGEL-onderdelen, maar daarmee zouden ook heel wat legitieme versies niet meer kunnen opstarten tot ze nieuwe certificaten kunnen gebruiken.

Microsoft lijkt hier de kat voorlopig wat uit de boom te kijken. Vermoedelijk wil het met andere betrokken partijen coördineren wat de beste aanpak is. Intussen blijft het een ernstig lek natuurlijk dat openlijk beschikbaar is om Secure Boot te omzeilen, met als enige lichtpuntje dat het voor hackers niet de meest evidente manier is om een systeem aan te vallen.

Uitgelicht artikel Windows 11-logo Patch Tuesday-update voor Windows 11 zorgt opnieuw voor crashes
BeveiliginghackmicrosoftWindowswindows 11
Joris Getteman

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Bekijk de huidige aanbiedingen bij Coolblue

Bekijk de huidige aanbiedingen bij Coolblue

👉 Bekijk alle deals

Trending berichten

Business