Home » News » Security Management » Schwachstelle zur Umgehung von UEFI Secure Boot entdeckt

Schwachstelle zur Umgehung von UEFI Secure Boot entdeckt

Eine gravierende Schwachstelle gefährdet die Sicherheit von UEFI Secure Boot: Angreifer könnten die Schutzmechanismen umgehen und unautorisierte Software starten. Microsoft reagiert prompt und stellt Updates bereit, um diese Sicherheitslücke zu schließen.

·

Redaktion IT-SICHERHEIT (cs)

1 Min. Lesezeit
Untersuchung eines System-Problems mit Lupe
Foto: ©AdobeStock/tadamichi

Das Unified Extensible Firmware Interface (UEFI) sorgt seit etwa 15 Jahren für einen einfacheren Zugriff auf Systemhardware und schützt den Systemstart vor Manipulationen. Nun haben Forscher von ESET eine kritische Sicherheitslücke (CVE-2024-7344) entdeckt, die es ermöglicht hätte, den Schutzmechanismus UEFI Secure Boot zu umgehen.

Die Schwachstelle wurde in einer UEFI-Anwendung gefunden, die mit dem Zertifikat „Microsoft Corporation UEFI CA 2011“ signiert ist. Wenn Angreifer diese Lücke ausnutzen, könnten sie während des Systemstarts schadhaften Code ausführen. Dadurch wäre es möglich, gefährliche UEFI-Bootkits wie Bootkitty oder BlackLotus selbst auf Systemen mit aktiviertem UEFI Secure Boot zu installieren – unabhängig vom Betriebssystem.

Laut einem Blogbeitrag von ESET betrifft die Schwachstelle mehrere Softwareprodukte, die zur Echtzeit-Systemwiederherstellung verwendet werden:

  • Howyar SysReturn vor Version 10.2.023_20240919
  • Greenware GreenGuard vor Version 10.2.023-20240927
  • Radix SmartRecovery vor Version 11.2.023-20240927
  • Sanfong EZ-back System vor Version 10.3.024-20241127
  • WASAY eRecoveryRX vor Version 8.4.022-20241127
  • CES NeoImpact vor Version 10.1.024-20241127
  • SignalComputer HDD King vor Version 10.3.021-20241127

Das Problem entsteht, weil diese Anwendungen einen eigenen PE-Lader verwenden, anstatt die sicheren UEFI-Funktionen LoadImage und StartImage zu nutzen. Dadurch können unsignierte UEFI-Binärdateien, etwa aus einer manipulierten Datei namens cloak.dat, während des Systemstarts geladen werden – ungeachtet des UEFI Secure Boot-Status.

ESET meldete die Schwachstelle im Juni 2024 an das CERT Coordination Center (CERT/CC), das die betroffenen Hersteller erfolgreich kontaktierte. Inzwischen wurde das Problem behoben. Microsoft hat die gefährdeten Dateien mit dem Patch Tuesday Update vom 14. Januar 2025 zurückgezogen, sodass die Schwachstelle nicht mehr ausgenutzt werden kann.

Weitere Artikel zum Thema: 

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

Welche fünf Risikofaktoren Security-Teams unbedingt beachten sollten

Sicherheitsrisiken: Server-Schwachstellen, die oft übersehen werden

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Mann und Frau im Rechenzentrum führen ein Gespräch

Cyber Security meets QM – schlagkräftiger in engem Zusammenspiel

Cyber Security lässt sich heute nicht mehr isoliert betrachten. Angesichts wachsender Bedrohungen und steigender regulatorischer Anforderungen wird sie zunehmend zur Managementaufg...

Branchennews
Flagge des Iran aus Binärcode

APT35 kartografierte Ziele vor Angriffen im Voraus

Ein neuer Bericht zeigt: Noch bevor Raketen und Drohnen eingesetzt wurden, hatte die iranische Gruppe APT35 kritische Infrastrukturen in allen Ländern, die später bombardiert werde...

KRITIS
RANSOMWARE auf blauem Hintergrund mit Schloss

Wie Identitäten Ransomware Tür und Tor öffnen

Ein einziger kompromittierter Zugang reicht heute aus, um ganze Unternehmen lahmzulegen. Aktuelle Ransomware-Angriffe zeigen, dass nicht Exploits das größte Risiko sind, sondern un...

Cybersecurity