11 Old Microsoft-Signed Linux UEFI Shims Could Let Attackers Bypass Secure Boot
Elf alte, von Microsoft signierte Linux UEFI-Anwendungen ermöglichen Angreifern, Secure Boot zu umgehen. Dies betrifft die meisten Systeme, die den modernen Firmware-Standard nutzen. Nutzer sollten prüfen, ob ihre Systeme betroffen sind, um die Ausführung von Bootkits oder Malware zu verhindern.
Elf alte, von Microsoft signierte Linux UEFI-Anwendungen wurden identifiziert, die es Angreifern ermöglichen könnten, Secure Boot zu umgehen. Diese Schwachstelle betrifft die meisten Systeme, die den modernen UEFI-Standard nutzen. Die Umgehung von Secure Boot könnte die Ausführung von Bootkits oder Malware während des Systemstarts ermöglichen.
Die meisten Systeme, die den modernen UEFI-Standard nutzen, sind potenziell betroffen.
Die Umgehung von Secure Boot untergräbt eine grundlegende Sicherheitsfunktion, die das Laden von nicht signiertem oder bösartigem Code während des Systemstarts verhindern soll. Dies könnte Angreifern ermöglichen, persistente Bootkits oder Malware zu installieren, die schwer zu erkennen und zu entfernen sind.
Ein Angreifer könnte die Schwachstelle nutzen, um ein bösartiges Bootkit zu installieren, das die Kontrolle über das System vor dem Laden des Betriebssystems übernimmt. Dies könnte zu einem vollständigen Systemkompromiss führen, der schwer zu beheben ist und die Integrität des Systems dauerhaft beeinträchtigt.
Überprüfen Sie, ob Ihre Systeme von den elf alten, von Microsoft signierten Linux UEFI-Anwendungen betroffen sind, und aktualisieren Sie diese umgehend, um die Schwachstellen zu beheben.
- ▸Überprüfen Sie die Firmware-Versionen Ihrer Systeme und vergleichen Sie diese mit den bekannten anfälligen UEFI-Anwendungen.
- ▸Stellen Sie sicher, dass alle System-Firmware-Updates zeitnah angewendet werden, insbesondere solche, die Secure Boot-bezogene Schwachstellen beheben.
- ▸Implementieren Sie eine regelmäßige Überprüfung der Boot-Integrität, um unautorisierte Änderungen an der Boot-Kette zu erkennen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Persistence | T1542 Boot or Logon Autostart Execution | High | die Ausführung von Bootkits oder Malware zu verhindern. |
| Defense Evasion | T1542.003 Boot or Logon Autostart Execution: Bootkit | High | die Ausführung von Bootkits oder Malware zu verhindern. |
- Die genauen Kennungen oder Hashes der elf anfälligen UEFI-Anwendungen sind im Artikel nicht spezifiziert.
- Es wird nicht spezifiziert, welche spezifischen Linux-Distributionen oder Hardware-Hersteller am stärksten betroffen sind.
- Es werden keine konkreten CVE-Nummern für diese Schwachstellen genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Möglich
- Exploit öffentlich verfügbar?Möglich
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Möglich
Kundenfragen
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?