Sicherheitsforscher von ESET haben eine schwerwiegende Sicherheitslücke (CVE-2024-7344) im UEFI Secure Boot-Mechanismus aufgedeckt. Die Schwachstelle ermöglicht Angreifern das Einschleusen bösartiger Bootloader trotz aktiviertem Secure Boot – einem grundlegenden Sicherheitsmechanismus moderner Computersysteme.
Technische Analyse der Sicherheitslücke
Im Zentrum der Schwachstelle steht ein von Microsoft digital signiertes UEFI-Programm, das in verschiedenen System-Recovery-Tools zum Einsatz kommt. Die Besonderheit liegt in der Verwendung eines nicht-standardisierten PE-Loaders, der die üblichen Sicherheitsüberprüfungen der UEFI-Firmware umgeht. Anders als die Standard-Mechanismen LoadImage und StartImage verzichtet die kompromittierte Komponente reloader.efi auf die Validierung digitaler Signaturen gegen die Vertrauens- (db) und Sperrdatenbanken (dbx).
Angriffsszenario und Auswirkungen
Der Angriffsvektor basiert auf der Manipulation der EFI-Systempartition. Angreifer können den legitimen Bootloader durch eine modifizierte Version von reloader.efi ersetzen und zusätzlich eine schädliche cloak.dat-Datei platzieren. Bei jedem Systemstart wird der manipulierte Code ausgeführt, wobei die Secure Boot-Schutzmaßnahmen vollständig ausgehebelt werden. Besonders kritisch ist, dass für einen erfolgreichen Angriff die verwundbare Software nicht vorinstalliert sein muss.
Betroffene Systeme und Schutzmaßnahmen
Die Schwachstelle betrifft primär Windows-Systeme mit aktiviertem Secure Boot. Microsoft hat im Januar-Sicherheitsupdate bereits reagiert und kompromittierte Zertifikate zurückgezogen. Systemadministratoren und Endanwender sollten folgende Maßnahmen ergreifen:
– Installation aller verfügbaren Windows-Sicherheitsupdates
– Aktualisierung betroffener System-Recovery-Tools
– Überprüfung der EFI-Systempartition auf unauthorisierte Änderungen
Diese Entdeckung unterstreicht die Bedeutung kontinuierlicher Sicherheitsaudits selbst bei vertrauenswürdiger, signierter Software. Die erfolgreiche Demonstration der Schwachstelle durch ESET-Forscher zeigt, dass auch fundamentale Sicherheitsmechanismen wie Secure Boot nicht unfehlbar sind. Regelmäßige Systemaktualisierungen und ein mehrschichtiger Sicherheitsansatz bleiben unverzichtbar für einen effektiven Schutz gegen moderne Bedrohungen.
