SecBoard
Zurück zur Übersicht

Old UEFI Shims Expose Systems to Secure Boot Bypass

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Alte, von Microsoft signierte UEFI-Shim-Bootloader weisen eine Schwachstelle auf, die einen Secure Boot Bypass ermöglicht. Betroffen sind alle Systeme, unabhängig vom Betriebssystem. Nutzer sollten ihre UEFI-Shims umgehend aktualisieren, um dieses Sicherheitsrisiko zu beheben.

Kurzfassung

Veraltete, von Microsoft signierte UEFI-Shim-Bootloader enthalten eine Schwachstelle, die einen Secure Boot Bypass ermöglicht. Diese Schwachstelle betrifft alle Systeme, unabhängig vom Betriebssystem. Es wird dringend empfohlen, die UEFI-Shims umgehend zu aktualisieren, um dieses Sicherheitsrisiko zu beheben.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Alle Systeme, die veraltete, von Microsoft signierte UEFI-Shim-Bootloader verwenden, sind betroffen, unabhängig vom Betriebssystem.

Warum relevant

Ein Secure Boot Bypass untergräbt eine grundlegende Sicherheitsfunktion, die das Laden von nicht autorisierter Software während des Bootvorgangs verhindern soll. Dies könnte Angreifern ermöglichen, persistente Malware zu installieren, die schwer zu erkennen und zu entfernen ist.

Realistisches Worst Case

Im schlimmsten Fall könnte ein Angreifer, der physischen Zugang oder eine andere anfängliche Kompromittierung hat, den Secure Boot umgehen, um Rootkits oder Bootkits zu installieren. Dies würde eine vollständige Kontrolle über das System ermöglichen, die selbst nach Neuinstallationen des Betriebssystems bestehen bleiben könnte.

Handlungsempfehlung

Alle Organisationen sollten umgehend überprüfen, ob ihre Systeme veraltete UEFI-Shim-Bootloader verwenden, und diese auf die neueste Version aktualisieren. Dies sollte eine hohe Priorität haben.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Version Ihrer UEFI-Shim-Bootloader auf allen Endpunkten und Servern. Stellen Sie sicher, dass die neuesten, von Microsoft signierten Versionen installiert sind.
  • Validieren Sie, dass Secure Boot auf allen relevanten Systemen aktiviert und korrekt konfiguriert ist.
  • Überprüfen Sie die Integrität der Boot-Chain und der geladenen Komponenten, um sicherzustellen, dass keine nicht autorisierten Shims oder Bootloader geladen werden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1542 Boot or Logon Autostart ExecutionLowAlte, von Microsoft signierte UEFI-Shim-Bootloader weisen eine Schwachstelle auf, die einen Secure Boot Bypass ermöglicht.
Defense EvasionT1553 Subvert Trust ControlsHighAlte, von Microsoft signierte UEFI-Shim-Bootloader weisen eine Schwachstelle auf, die einen Secure Boot Bypass ermöglicht.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen CVEs oder Schwachstellen-IDs betroffen sind.
  • Es werden keine spezifischen Hersteller oder Modelle von Systemen genannt, die besonders anfällig sind.
  • Es werden keine Details zu den Angriffsvektoren oder der Komplexität der Ausnutzung der Schwachstelle genannt.
Themen
Endpoint Securitybypasssecure bootShimUEFI