Bootloader-beveiligingslek laat aanvallers UEFI Secure Boot omzeilen
Een kwetsbaarheid in een bootloader-applicatie maakt het mogelijk voor aanvallers om UEFI Secure Boot te omzeilen en zo het systeem te compromitteren. Het probleem is inmiddels door de betrokken leveranciers verholpen en de kwetsbare binaries zijn afgelopen dinsdag door Microsoft ingetrokken. De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen, nog voor het besturingssysteem.
UEFI Secure Boot kan UEFI-applicaties uitvoeren die meestal door de Microsoft UEFI Certificate Authority (CA) zijn gesigneerd. De UEFI-bootloader is een UEFI-applicatie die verantwoordelijk is voor boot management en het laden van bestanden van het besturingssysteem. Deze bootloaders kunnen tijdens het opstartproces aanvullende software uitvoeren en drivers laden. De Howyar Reloader UEFI-applicatie is een UEFI-bootloader die een kwetsbaarheid (CVE-2024-7344) bevat waardoor arbitrary code execution mogelijk is.
Een aanvaller kan hier misbruik van maken door niet-gesigneerde third-party software tijdens het begin van de opstartfase uit te voeren en UEFI Secure Boot te omzeilen. Deze software draait dan met verhoogde rechten binnen de UEFI-context. Doordat de Howyar Reloader-applicatie gesigneerd is door de vertrouwde Microsoft UEFI CA, is het op elk systeem te installeren dat UEFI ondersteunt.
Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt dat een aanvaller via de kwetsbaarheid malafide kernel-extensies kan installeren die zowel een herstart als het opnieuw installeren van het besturingssysteem kunnen overleven. Daarnaast zou de malware OS-gebaseerde beveiligingsmaatregelen en endpoint detection en response kunnen omzeilen.
De kwetsbare UEFI-applicatie is onderdeel van verschillende realtime systeemherstelsoftwarepakketten van bedrijven als Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System en Signal Computer. "Misbruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware is geïnstalleerd. Aanvallers kunnen hun eigen kopie van de kwetsbare binary meenemen naar elk UEFI-systeem dat gebruikmaakt van het Microsoft derde-partijscertificaat", aldus antivirusbedrijf ESET dat het probleem ontdekte.
Om de kwetsbaarheid te verhelpen is er een update voor de Reloader-applicatie beschikbaar. Daarnaast is het ook belangrijk dat alle UEFI compliant computers hun Secure Boot Forbidden Signature Database (DBX of Revocation List) bijwerken, zo adviseert het CERT/CC.
Nu voel ik mij dom. Hoe dan?
hoe los ik een probleem op door dingen alleen maar ingewikkelder te maken...
Waarom is dit dan een specifiek Microsoft probleem? Waarom wordt Linux hier niet door geraakt?
En ja ik heb de MS CVE gelezen, daar wordt ik niet wijzer van.
Waarom is dit dan een specifiek Microsoft probleem? Waarom wordt Linux hier niet door geraakt?
En ja ik heb de MS CVE gelezen, daar wordt ik niet wijzer van.
Het is de bootloader, niet UEFI zelf.
Die verschilt per distro, OS, etc.
Microsoft blijkt dus de Howyar Reloader bootloader te gebruiken.
Die applicatie zal dus een lek bevatten welke misbruikt wordt.
hoe los ik een probleem op door dingen alleen maar ingewikkelder te maken...
Gloeilampen:
Hoe los ik een probleem op door dingen alleen maar ingewikkelder te maken...
( absoluut niet geschreven door kaars fabrikanten )
Waarom is dit dan een specifiek Microsoft probleem? Waarom wordt Linux hier niet door geraakt?
En ja ik heb de MS CVE gelezen, daar wordt ik niet wijzer van.
Omdat er een bug in een stuk software is die door de supergeheime cryptografische key van microsoft is ondertekend. Alle windows machines met secure boot zullen deze software vertrouwen omdat deze is ondertekend en een aanvaller kan de computer opstarten/booten met deze software.
Om dit op te lossen kan een soort identificatie hash van deze software VERSIE op de secureboot blacklist van je moederbord gezet worden. Andere/nieuwere versies van dezelfde software kan dan wel gebruikt worden.
Het is niet alleen een windows probleem, omdat elk moederbord standaard met de microsoft cryptografische geleverd wordt om windows to ondersteunen. De linux secureboot gebruiker moet wel de microsoft keys verwijderen of de microsoft blacklist hanteren om veilig te zijn. Maar secureboot is niet erg populair onder de linux gebruikers.
:-)
Het is niet alleen een windows probleem, omdat elk moederbord standaard met de microsoft cryptografische geleverd wordt om windows to ondersteunen. De linux secureboot gebruiker moet wel de microsoft keys verwijderen of de microsoft blacklist hanteren om veilig te zijn. Maar secureboot is niet erg populair onder de linux gebruikers.
Als je alleen maar een hobby systeem hebt niet nee.
Als je daarintegen moet zorgen dat je systeem niet zomaar wil opstarten met een bootsticky van een gebruiker/hacker en dan je OS omzeilt kijk je naar secure boot.
Dat zou je moeten doen als je (beheerde) laptops aan eindgebruikers meegeeft (amper of nooit Linux)
of een hele vloot servers in een datacenter hebt , en daar ook niet alle mensen die binnen kunnen wilt vertrouwen .
Dat zouden wel Linux systemen kunnen zijn, en het is niet voor niks dat bijvoorbeeld Redhat wel uitgebreid secure boot documenteert .
https://support.microsoft.co /m/nl-nl/topic/microsoft-richtlijnen-voor-het-toepassen-van-een-dbx-update-voor-beveiligd-opstarten-kb4575994-e3b9e4cb-a330-b3ba-a602-15083965d9ca
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?