Sicherheitsforscher konnten Schwachstellen in drei UEFI-Bootloadern ausfindig machen, die Microsoft durch ein Update auszusperren versuchte.
Eclypsium-Sicherheitsforscher haben Schwachstellen in UEFI-Bootloadern von Drittanbietern entdeckt. Darüber lässt sich potenziell die Secure Boot-Funktion auf Windows-Computern umgehen. Als Reaktion darauf hat Microsoft die betroffenen Bootloader einfach durch ein Sicherheitsupdate gesperrt. Doch leider ist das Update fehlerhaft.
Microsoft signiert UEFI-Bootloader ohne vollständige Codeanalyse
Unmittelbar nach dem Einschalten eines Windows-Systems, startet der Firmware-Bootloader, um die Hardware zu initialisieren und die UEFI-Umgebung zu starten. Diese UEFI-Umgebung ist anschließend für den Start des Windows Boot Managers verantwortlich. Normalerweise stellt Secure Boot als Teil der UEFI-Spezifikation sicher, dass sich nur vertrauenswürdiger Code ausführen lässt, um das Betriebssystem zu starten.
Um jedoch einen Code als vertrauenswürdig einzustufen, signiert Microsofts Zertifizierungsstelle UEFI Third Party Certificate Authority (CA) diesen. Das Problem sehen die Eclypsium-Sicherheitsforscher Mickey Shkatov und Jesse Michael darin, dass der Software-Gigant diesen Vorgang einfach ohne vollständige Codeanalyse durchführt.
„Diese Drittanbieter senden ihre Bootloader zur Überprüfung an Microsoft, aber verschiedene Anbieter haben unterschiedliche Sicherheitsstufen„, mahnte Michael gegenüber SearchSecurity. Es werde lediglich überprüft, ob der ausgeführte Code derjenige ist, den das System erwartet. Ob der Code der UEFI-Bootloader gut oder fehlerfrei sei, spiele dabei keine Rolle. Und obwohl Microsoft bereits seit 2011 seine eigene Zertifizierungsstelle besitzt und schon unzählige Bootloader signiert habe, teile das Unternehmen keinerlei Informationen darüber, „wie viele Bootloader und welche Versionen es gibt.„
„Wenn wir alle Bootloader aufzählen und eine Art Überprüfung durchführen könnten, würde ich mich ein bisschen besser fühlen„, zeigte sich Michael besorgt.
Dass Microsoft es mit digitalen Signaturen nicht immer so genau nimmt, verdeutlichte bereits ein Beispiel aus dem vergangenen Jahr. Wie wir im Oktober 2021 berichteten, konnte das Rootkit FiveSys durch eine digitale Signatur von Microsoft nahezu unbegrenzte Privilegien auf mit dem Schadprogramm infiltrierten Systemen erlangen.
Sicherheitsupdate sperrt betroffene Bootloader
Drei der von Microsoft zugelassenen UEFI-Bootloader weisen laut der Eclypsium-Forscher Schwachstellen auf. Angreifer können dadurch die Secure Boot-Funktion umgehen und nicht signierten Code ausführen. So lassen sich Veränderungen am Betriebssystem vornehmen, Sicherheitsfunktionen deaktivieren und Hintertüren installieren, die einen späteren Zugriff auf das System erlauben.
Um das Problem zu beheben hat Microsoft das Sicherheitsupdate KB5012170 veröffentlicht und dadurch die betroffenen UEFI-Bootloader einfach blockiert.
Betroffen sind folgende Bootloader:
- Eurosoft (UK) Ltd. (CVE-2022-34301)
- New Horizon Datasys Inc. (CVE-2022-34302)
- CryptoPro Secure Disk (CVE-2022-34303)
„Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Signaturen der bekannten anfälligen UEFI-Module zum DBX hinzugefügt werden.“
Microsoft
Laut der Sicherheitsforscher ist die Ausnutzung der Sicherheitslücken in zweien der drei UEFI-Bootloader durch Startskripte einfach automatisierbar. Für alle drei Schwachstellen sind Adminrechte unter Windows oder Root-Rechte auf Linux-Computern erforderlich. Diese zu erlangen ist jedoch für Angreifer zumeist keine große Herausforderung.
Update ist nicht fehlerfrei und kann in Bootschleife münden
Wie sich kurze Zeit nach der Veröffentlichung des Sicherheitsupdates herausstellte, haben einige Anwender mit einem Fehler zu kämpfen, durch den ihr PC die Installation des betroffenen Updates abbricht und anschließend in einer Bootschleife landet. Laut Microsoft werde das Problem derzeit untersucht und so schnell wie möglich eine Lösung bereitgestellt.
