Wire

ESET Research ontdekt kwetsbaarheid voor omzeilen UEFI Secure Boot

© Eset

ESET Research heeft een kwetsbaarheid ontdekt die de meeste UEFI-gebaseerde systemen treft en waarmee piraten de UEFI Secure Boot kunnen omzeilen. Deze kwetsbaarheid, die CVE-2024-7344 werd genoemd, werd aangetroffen in een UEFI-app die ondertekend is door het externe UEFI-certificaat van Microsoft “Microsoft Corporation UEFI CA 2011”. Exploitatie van deze kwetsbaarheid kan leiden tot het uitvoeren van niet-vertrouwde code tijdens het opstarten van een systeem, zodat potentiële aanvallers eenvoudig schadelijke UEFI-bootkits (zoals Bootkitty of BlackLotus) kunnen implementeren, zelfs op systemen met de UEFI Secure Boot, ongeacht het geïnstalleerde besturingssysteem.

ESET rapporteerde dit in juni 2024 aan het CERT Coordination Center (Computer Emergency Response Team), dat contact opnam met de getroffen leveranciers. Het probleem is nu opgelost in de getroffen producten en de oude, kwetsbare binaire bestanden werden door Microsoft ingetrokken in de Patch Tuesday-update van 14 januari 2025.

De getroffen UEFI-app zit in softwarepakketten voor realtime systeemherstel die ontwikkeld zijn door Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. en Signal Computer GmbH.

“Het aantal UEFI-kwetsbaarheden ontdekt tijdens de afgelopen jaren en de mislukkingen bij het patchen ervan of het verwijderen van kwetsbare binaire bestanden binnen aanvaarbare tijd, laat zien dat zelfs een essentiële functie als UEFI Secure Boot niet als een onoverkomelijke drempel moet gezien worden”, zegt Martin Smolár, de ESET-onderzoeker die de kwetsbaarheid ontdekte. “Wat ons het meest zorgen baart, is niet de tijd nodig om het binaire bestand te repareren en in te trekken – wat behoorlijk goed was in vergelijking met andere gevallen – maar wel dat het niet de eerste keer is dat zo’n onveilig, ondertekend UEFI-binair bestand ontdekt werd. ​​Hoe vaak worden dergelijke onveilige technieken dan wel gebruikt door externe UEFI-softwareleveranciers, en hoeveel andere vergelijkbare duistere, maar ondertekende, bootloaders mogelijk kunnen zijn.”

Het gebruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware geïnstalleerd is, daar aanvallers hun eigen kopie van het kwetsbare binaire bestand op elk UEFI-systeem kunnen installeren met het Microsoft third-party UEFI-certificaat. Verhoogde rechten zijn vereist om de kwetsbare en schadelijke bestanden te implementeren op de EFI-systeempartitie (lokale beheerder op Windows; root op Linux). De kwetsbaarheid wordt veroorzaakt door het gebruik van een aangepaste PE-loader in plaats van de standaard- en beveiligde UEFI-functies LoadImage en StartImage. Alle UEFI-systemen met Microsoft third-party ingeschakelde UEFI-ondertekening zijn getroffen (bij Windows 11 Secured-core pc’s zouden deze optie standaard moeten uitgeschakeld zijn).

De kwetsbaarheid kan beperkt worden door het toepassen van de nieuwste UEFI-intrekkingen van Microsoft. Windows-systemen zouden automatisch moeten worden bijgewerkt. Het advies van Microsoft voor de CVE-2024-7344-kwetsbaarheid is hier te vinden. Voor Linux-systemen moeten beschikbaar zijn via de Linux Vendor Firmware Service.

Voor een meer gedetailleerde en technische analyse van de UEFI-kwetsbaarheid, lees de nieuwste ESET Research-blog “Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344” op

www.xelivesecurity.com . Voor de nieuwste info, volg zeker ook ESET Research on Twitter (today known as X)


Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.

Gerelateerde artikelen

Volg ons

Lezersaanbod: korting op Kuno (op=op)

Lezersaanbod: korting op Kuno (op=op)

Bekijk de voorraad