ESET entdeckt Schwachstelle zur Umgehung von UEFI Secure Boot
Sicherheitslücke kann durch die neuesten UEFI-Updates von Microsoft geschlossen werden
 |
Schwachstelle im UEFI Secure Boot (Bild: ESET) |
Jena (pts025/16.01.2025/15:15)
Eine neu entdeckte Sicherheitslücke bedroht die Integrität von Computersystemen weltweit: Forscher des IT-Sicherheitsherstellers ESET haben eine Schwachstelle identifiziert, die das sogenannte UEFI Secure Boot umgehen kann. Diese Funktion, die den sicheren Systemstart gewährleisten soll, ist auf den meisten modernen Computern aktiviert.
Die Sicherheitslücke (CVE-2024-7344) betrifft eine von Microsoft signierte Softwarekomponente. Angreifer können diese Schwachstelle nutzen, um bereits beim Hochfahren eines Systems schadhaften Code auszuführen. Dies ermöglicht es, UEFI Bootkits wie BootKitty oder BlackLotus einzuschleusen – völlig unabhängig vom installierten Betriebssystem.
Schnelle Reaktion auf den Fund
ESET meldete die Schwachstelle bereits im Juni 2024 an das CERT Coordination Center (CERT/CC), das umgehend die betroffenen Hersteller kontaktierte. Dank dieser Zusammenarbeit konnte das Problem behoben werden: Mit dem Patch Tuesday Update am 14. Januar 2025 hat Microsoft die anfälligen Softwarekomponenten entfernt und so die Sicherheit wiederhergestellt.
Welche Systeme sind betroffen?
Die Schwachstelle betrifft eine Software, die in verschiedenen Systemwiederherstellungsprogrammen verwendet wird. Zu den betroffenen Herstellern gehören:
- Howyar Technologies Inc.
- Greenware Technologies
- Radix Technologies Ltd.
- SANFONG Inc.
- Wasay Software Technology Inc.
- Computer Education System Inc.
- Signal Computer GmbH
Martin Smolár, der ESET-Forscher, der die Schwachstelle aufgedeckt hat, erklärt: "Es zeigt sich, dass selbst eine so essenzielle Sicherheitsfunktion wie UEFI Secure Boot keine absolute Garantie bietet. Besonders alarmierend ist, dass unsichere und trotzdem signierte Softwarekomponenten offenbar keine Seltenheit sind."
Die Schwachstelle stellt nicht nur für Systeme mit der betroffenen Software eine Gefahr dar. Angreifer können die Schwachstelle ausnutzen, indem sie die fehlerhafte Software gezielt auf jedem beliebigen UEFI-System installieren, das Microsofts UEFI-Zertifikat von Drittanbietern akzeptiert. Voraussetzung ist allerdings, dass sie über administrative Zugriffsrechte verfügen (z. B. als lokaler Administrator unter Windows oder mit root-Rechten unter Linux).
Wie können Nutzer ihre Systeme schützen?
Der Fehler beruht darauf, dass ein unsicherer PE-Loader verwendet wurde. Dieser enthält Anweisungen und Daten, die für den Betrieb von Programmen oder Systemprozessen erforderlich sind. UEFI nutzt standardmäßig sichere Funktionen wie LoadImage und StartImage, um solche Dateien zu laden. Ein unsicherer PE-Lader, wie er bei der entdeckten Schwachstelle verwendet wird, umgeht diese Standards und stellt somit ein Risiko dar. Betroffen sind alle Systeme, bei denen die UEFI-Signaturen von Drittanbietern aktiviert sind – diese Option ist auf Windows 11 Secured Core PCs standardmäßig deaktiviert.
Die Lücke kann durch die neuesten UEFI-Updates von Microsoft geschlossen werden. Windows-Systeme sollten diese automatisch erhalten. Nutzer von Linux-Systemen finden entsprechende Updates über den Linux Vendor Firmware Service. Weitere Details zur Sicherheitslücke CVE-2024-7344 bietet der Hinweis von Microsoft, der hier abrufbar ist.
Die detaillierte Analyse finden Sie auf dem ESET-Security-Blog Welivesecurity.de: www.welivesecurity.com/de/eset-research/uefi-secure-boot-eset-entdeckt-gefahrliche-sicherheitslucke
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Michael Klatte |
| Tel.: | +49 3641 3114 257 |
| E-Mail: | michael.klatte@eset.de |
| Website: | www.eset.de |
