SecBoard
Zurück zur Übersicht

11 Old Microsoft-Signed Linux UEFI Shims Could Let Attackers Bypass Secure Boot

The Hacker News·
Originalartikel lesen bei The Hacker News

Elf alte, von Microsoft signierte Linux UEFI-Anwendungen ermöglichen Angreifern, Secure Boot zu umgehen. Dies betrifft die meisten Systeme, die den modernen Firmware-Standard nutzen. Nutzer sollten prüfen, ob ihre Systeme betroffen sind, um die Ausführung von Bootkits oder Malware zu verhindern.

Kurzfassung

Elf alte, von Microsoft signierte Linux UEFI-Anwendungen wurden identifiziert, die es Angreifern ermöglichen könnten, Secure Boot zu umgehen. Diese Schwachstelle betrifft die meisten Systeme, die den modernen UEFI-Standard nutzen. Die Umgehung von Secure Boot könnte die Ausführung von Bootkits oder Malware während des Systemstarts ermöglichen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Die meisten Systeme, die den modernen UEFI-Standard nutzen, sind potenziell betroffen.

Warum relevant

Die Umgehung von Secure Boot untergräbt eine grundlegende Sicherheitsfunktion, die das Laden von nicht signiertem oder bösartigem Code während des Systemstarts verhindern soll. Dies könnte Angreifern ermöglichen, persistente Bootkits oder Malware zu installieren, die schwer zu erkennen und zu entfernen sind.

Realistisches Worst Case

Ein Angreifer könnte die Schwachstelle nutzen, um ein bösartiges Bootkit zu installieren, das die Kontrolle über das System vor dem Laden des Betriebssystems übernimmt. Dies könnte zu einem vollständigen Systemkompromiss führen, der schwer zu beheben ist und die Integrität des Systems dauerhaft beeinträchtigt.

Handlungsempfehlung

Überprüfen Sie, ob Ihre Systeme von den elf alten, von Microsoft signierten Linux UEFI-Anwendungen betroffen sind, und aktualisieren Sie diese umgehend, um die Schwachstellen zu beheben.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Firmware-Versionen Ihrer Systeme und vergleichen Sie diese mit den bekannten anfälligen UEFI-Anwendungen.
  • Stellen Sie sicher, dass alle System-Firmware-Updates zeitnah angewendet werden, insbesondere solche, die Secure Boot-bezogene Schwachstellen beheben.
  • Implementieren Sie eine regelmäßige Überprüfung der Boot-Integrität, um unautorisierte Änderungen an der Boot-Kette zu erkennen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1542 Boot or Logon Autostart ExecutionHighdie Ausführung von Bootkits oder Malware zu verhindern.
Defense EvasionT1542.003 Boot or Logon Autostart Execution: BootkitHighdie Ausführung von Bootkits oder Malware zu verhindern.
Offene Punkte
  • Die genauen Kennungen oder Hashes der elf anfälligen UEFI-Anwendungen sind im Artikel nicht spezifiziert.
  • Es wird nicht spezifiziert, welche spezifischen Linux-Distributionen oder Hardware-Hersteller am stärksten betroffen sind.
  • Es werden keine konkreten CVE-Nummern für diese Schwachstellen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Möglich
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Möglich

Kundenfragen

  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)

Reconnaissance
Persistence