ESET: UEFI Secure Boot Sicherheitslücke

Donnerstag, 16.01.2025

ESET-Forscher entdeckten letztes Jahr eine unsignierte Binärdatei in einer UEFI-Anwendung eines Drittanbieters, die zur Umgehung des Secure Boot-Prozesses missbraucht werden konnte.

ESET veröffentlichte einen Blogbeitrag mit dem Titel "Under the Cloak of UEFI Secure Boot: Introducing CVE-2024-7344", in dem eine Sicherheitslücke beschrieben wird, die erstmals am Patch Tuesday bekannt wurde. ESET-Forscher fanden die Sicherheitslücke in einer UEFI-Anwendung, die mit dem Zertifikat eines Drittanbieters von Microsoft signiert ist und von Howyar Technologies Inc. verwendet wird. Durch die Ausnutzung der Sicherheitslücke kann ein Angreifer bösartige UEFI-Bootkits "sogar auf Systemen mit aktiviertem UEFI Secure Boot" installieren, so ESET.

Die Forscher meldeten die Sicherheitslücke im Juni an das CERT Coordination Center und stimmten sich mit den betroffenen Herstellern ab, bevor sie zusammen mit Microsoft einen Fix für den Januar-Patch Tuesday herausbrachten. CVE-2024-7344 betrifft Wiederherstellungssoftware-Suites, die von mehreren Anbietern entwickelt wurden, darunter Howyar Technologies, Greenware Technologies und Radix Technologies.

ESET-Forscher warnten, dass CVE-2024-7344 die meisten UEFI-basierten Systeme und alle UEFI-Systeme mit aktivierter UEFI-Signierung durch Microsoft-Drittanbieter betrifft. Sie entdeckten die Sicherheitslücke ursprünglich bei der Untersuchung eines Softwarepakets von Howyar SysReturn im vergangenen Jahr. Die Analyse ergab, dass die Software eine unsignierte Binärdatei in einer UEFI-Anwendung namens reloader.efi enthielt. Außerdem stellten die Forscher fest, dass der anfällige Bootloader keine Secure Boot-bezogenen Integritätsprüfungen durchführte.

Die Sicherheitslücke lässt sich nicht nur auf Systeme ausnutzen, auf denen die betroffene Wiederherstellungssoftware installiert ist, da Angreifer ihre eigene Kopie der anfälligen Binärdatei reloader.efi auf jedes UEFI-System bringen können, auf dem das UEFI-Zertifikat eines Drittanbieters von Microsoft registriert ist. Außerdem sind erhöhte Berechtigungen erforderlich, um die anfälligen und bösartigen Dateien auf der EFI-Systempartition zu installieren.

Die Sicherheitslücke bei der Umgehung von UEFI Secure Boot wurde zwar behoben, doch die ESET-Forscher warnen, dass sie auf ein breiteres Problem in der gesamten Sicherheitslandschaft hinweist. So berichteten Eclypsium-Forscher während einer DEF CON 30-Präsentation im Jahr 2022 über ähnliche Probleme, bei der drei Sicherheitslücken in Bootloadern von Drittanbietern besprochen wurden, die zur Umgehung des Secure Boot-Prozesses genutzt werden können.

ESET geht davon aus, dass die Sicherheit von Bootloadern ein zunehmendes Problem werden könnte.

Die Anzahl der UEFI- Sicherheitslücken, die in den letzten Jahren entdeckt wurden, und die Tatsache, dass es nicht gelungen ist, sie zu patchen oder anfällige Binärdateien innerhalb eines angemessenen Zeitfensters zu entfernen, zeigt, dass selbst eine so wichtige Funktion wie UEFI Secure Boot nicht als undurchdringliche Barriere betrachtet werden sollte. Was uns im Fall der in diesem Blogpost berichteten Schwachstelle jedoch am meisten beunruhigt, ist nicht die Zeit, die für die Behebung und den Widerruf der Binärdatei benötigt wurde, die im Vergleich zu ähnlichen Fällen recht gut war, sondern die Tatsache, dass dies nicht das erste Mal ist, dass eine so offensichtlich unsichere signierte UEFI-Binärdatei entdeckt wurde.

ESET bezog sich auf die Forschung von Eclypsium und sagte, dass solche Sicherheitslücken Fragen über die Sicherheit von Drittanbietern von UEFI-Software aufwerfen und wie viele anfällige signierte Bootloader existieren könnten.

Die Forscher erklärten, dass CVE-2024-7344 durch die Anwendung der neuesten UEFI- Revisionen von Microsoft entschärft werden kann und dass Windows-Systeme automatisch aktualisiert werden sollten.

Aufruf zur Transparenz

Während reloader.efi eine versteckte, unsignierte Binärdatei enthielt, war die UEFI-Anwendung selbst mit einem Microsoft-Zertifikat signiert. In dem Blog-Beitrag wurden zwei Microsoft UEFI-Zertifikate hervorgehoben, die normalerweise auf ein vertrauenswürdiges Gerät hinweisen: Microsoft Windows Production PCA 2011 und Microsoft Corporation UEFI CA 2011. Die ESET-Forscher erklärten, dass das erstgenannte Zertifikat, das zum Signieren von UEFI-Anwendungen von Drittanbietern wie reloader.efi verwendet wird, von Microsoft bald widerrufen und durch das Windows UEFI CA 2023-Zertifikat ersetzt werden sollte.

Die ESET-Forscher sind optimistisch, was die Einführung der neuen UEFI-Zertifikate durch Microsoft angeht, in der Hoffnung, dass dadurch die Transparenz bei UEFI-Sicherheitsproblemen erhöht wird. Es gibt jedoch noch mehr zu tun.

Artikel

hardware Netzwerksicherheit

Der Schutz von wichtigen Informationen ist seit jeher ein vorrangiges Anliegen der Unternehmen.

hardware Welche Arten von Anwendungen benötigen Video-RAM?

Einen großen Einfluss beim VRAM-Verbrauch ist die Auflösung Ihres Monitors.

windows all Geisterlaufwerk in Windows löschen

Zeigt Ihr Windows-Explorer ein Laufwerk an, dass physisch gar nicht vorhanden ist?

hardware Was ist P2P-Filesharing?

P2P-Filesharing ist der Prozess des Austauschs von digitalen Inhalten.

software Driver Talent: Treiber-Updater-Software für Windows 10

Die meisten Probleme in Windows werden durch veraltete, fehlerhafte oder beschädigte Gerätetreiber verursacht.

office Tipps und Tricks zur Steigerung der Effizienz in Word

Wenn es um Textverarbeitung geht, ist Microsoft Word der Standard.

windows 10 Windows 10: God-Mod aktivieren

Auch unter Windows 10 besteht die Möglichkeit, den God-Mode zu aktivieren.

windows 10 Microsoft Store Abstürze unter Windows 10 beheben

Software ist einer der wichtigsten Bestandteile des Windows-Ökosystems.

windows all So synchronisieren Sie Ihren Desktop mit der Cloud

Dienste wie Dropbox und OneDrive sind eine großartige Möglichkeit, auf all Ihre Dokumente über mehrere PCs, Tablet-PCs und Ihr Smartphone zuzugreifen.

windows all Konzepte und Begriffe des Windows-Betriebssystems

In diesem Artikel lernen wir einige grundlegende Konzepte und Begriffe des Windows-Betriebssystems kennen.

windows 11 So behebt man den Fehler -normaliz.dll nicht gefunden- unter Windows 11

Der Fehler "normaliz.dll nicht gefunden" tritt auf, wenn die Unicode Normalization DLL-Datei entfernt oder beschädigt wurde.

windows 11 So installieren Sie Windows 11 auf einer virtuellen Maschine

Die Installation von Windows 11 auf Ihrem Alltags-PC ist für die meisten von uns nicht praktikabel.

software Spielen Sie verborgene Games in Browsern: Chrome, Edge, Firefox, Opera, Vivaldi

Auch wenn es Ihnen noch nicht aufgefallen ist, es gibt verborgene Spiele in den manchen Browsern.

windows 11 Wie man Wifi-Passwörter in Windows 11 anzeigt

Möglicherweise ist Ihr Partner für die Technik in Ihrem Haus zuständig, und Sie kennen das WLAN-Passwort nicht einmal.

windows 10 Windows 10: Personalisieren und Anpassen des Desktops

Eine der am meisten gewünschten Funktionen von Windows 10 ist die Rückkehr zur vertrauten Desktop-Umgebung.

windows 7 USB-Sticks als zusätzlichen Speicher nutzen

Windows 7 geht mit dem Arbeitsspeicher (RAM) eines PCs nicht gerade sparsam um.

windows 10 Windows 10: Zurücksetzen des Benutzerkennworts

Wenn Sie ein Windows-Konto erstellen, ist es immer ratsam, einen Datenträger zum Zurücksetzen des Kennworts zu erstellen.

windows 10 Windows 10 Redstone 4: Die besten versteckten Funktionen

Das große Update von Windows 10, Redstone 4, bietet keine wesentlichen Änderungen.

windows 11 Deaktivieren der automatischen Updates unter Windows 11

Möchten Sie verhindern, dass Windows 11 Updates automatisch herunterlädt und installiert?

Lexikon

0-9	A	B	C	D	E	F
G	H	I	J	K	L	M
N	O	P	Q	R	S	T
U	V	W	X	Y	Z	#