Wire

Kwetsbare UEFI-shims ondermijnen de Secure Boot-functie van toestellen, zegt ESET Research

© ESET
ESET Research ontdekte 11 kwetsbare UEFI-shim-bootloaders, ondertekend door Microsoft, waarmee aanvallers UEFI Secure Boot konden omzeilen door kwetsbaarheden te gebruiken die al tientallen jaren bestaan.

UEFI-shim-bootloaders zijn kleine stukjes code, ontworpen om de kloof tussen de UEFI-firmware van het moederbord en een besturingssysteem te overbruggen. De kwetsbare shims, in versies 0.9 en lager, kunnen gebruikt worden om UEFI Secure Boot te omzeilen op elke UEFI-gebaseerde machine die het Microsoft Corporation UEFI CA 2011-certificaat van een externe UEFI-certificeringsinstantie (CA) vertrouwt, ongeacht het geïnstalleerde besturingssysteem. De vermelde shims kunnen misbruikt worden om onbetrouwbare code uit te voeren tijdens het opstarten van het systeem, zodat aanvallers kwaadaardige UEFI-bootkits kunnen installeren, zelfs op systemen waar UEFI Secure Boot is ingeschakeld. ESET meldde dit aan CERT/CC en de kwetsbare UEFI-applicaties werden ingetrokken.

Vereenvoudigde UEFI-opstartprocedure op Linux-systemen

De ontdekte shims komen van diverse tools en softwarepakketten, waaronder pc-diagnosesoftware, Linux-distributies en andere UEFI-gebaseerde hulpprogramma’s. De exploitatie is echter niet beperkt  tot systemen waarop de betroffen software of het besturingssysteem is geïnstalleerd, daar aanvallers hun eigen kopie van de kwetsbare shims kunnen meenemen naar elk UEFI-systeem waarop het Microsoft UEFI-certificaat van derden is geregistreerd.

“Wat deze oude shims gevaarlijk maakt, is niet een nieuwe kwetsbaarheid, maar wel dat er geen nieuwe kwetsbaarheid nodig is om UEFI Secure Boot te omzeilen. Een aanvaller heeft geen ingewikkelde exploitatiemethoden nodig, enkel een kopie van een oud, nog niet ingetrokken shim-bestand en een basiskennis van hoe UEFI-shims werken, genoeg om een essentiële beveiligingsfunctie als UEFI Secure Boot te omzeilen”, aldus ESET-onderzoeker Martin Smolár, die de kwetsbare shims ontdekte. “Om inzicht te krijgen in de impact die dergelijke kwetsbare shims kunnen hebben op systemen die beveiligd zijn met UEFI Secure Boot, belicht het rapport een aantal specifieke problemen in de gemelde shims: problemen die gemakkelijk te exploiteren zijn en die de omvang van het aanvalsoppervlak dat ze blootleggen, benadrukken”, zegt Smolár.

Over de jaren evolueerde de UEFI shim-bootloader op natuurlijke wijze, met nieuwe verbeteringen en beveiligingsfuncties die in opeenvolgende releases van de upstream UEFI shim-repository werden geïntroduceerd. Veel externe leveranciers hebben in die periode beschikbare versies van de shim-broncode gebruikt om hun eigen binaire bestanden te bouwen en ze vervolgens ter ondertekening aan Microsoft voor te leggen. Dit gedrag was te verwachten en sluit aan bij het oorspronkelijke ontwerp van shims. Maar er is onvoldoende aandacht besteed aan het intrekken van verouderde, door Microsoft ondertekende, shims zodat, door hun ontwerp, vele worden gebruikt om nieuwere beveiligingsmechanismen te omzeilen.

Deze kwetsbare shims kunnen geblokkeerd worden door de nieuwste UEFI-intrekkingen van Microsoft toe te passen. Windows-systemen moeten automatisch bijgewerkt worden. Voor Linux-systemen moeten updates beschikbaar zijn via de Linux Vendor Firmware Service. Voor meer algemene aanbevelingen over hoe men zich kan beschermen tegen misbruik door het detecteren van onbekende kwetsbare en ondertekende UEFI-bootloaders en de implementatie van UEFI-bootkits, is er het ESET Research-blogbericht “Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344.”

Meer details over de kwetsbare UEFI-shims zijn te vinden in de blog van ESET Research “Forgotten UEFI shims undermining Secure Boot,” op www.WeLiveSecurity.com. Volg ook ESET Research op Twitter (vandaag bekend als X)BlueSky en Mastodon voor de nieuwste info.


Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.

Google Voeg TechPulse.be toe als favoriete bron op Google!
esetpartnerinfo

Gerelateerde artikelen

Volg ons

Google Voeg TechPulse.be toe als favoriete bron op Google!
Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Bespaar nu