
ESET -onderzoekers hebben een kwetsbaarheid ontdekt die de meeste UEFI-gebaseerde systemen beïnvloedt en waarmee actoren UEFI Secure Boot kunnen omzeilen. Deze kwetsbaarheid, aangeduid als CVE-2024-7344, werd aangetroffen in een UEFI-toepassing die is ondertekend met Microsoft’s "Microsoft Corporation UEFI CA 2011" derde-partijscertificaat. Misbruik van deze kwetsbaarheid kan leiden tot de uitvoering van niet-vertrouwde code tijdens het opstarten van een systeem, waardoor aanvallers eenvoudig kwaadaardige UEFI-bootkits, zoals Bootkitty of BlackLotus, kunnen inzetten. Dit geldt zelfs voor systemen met UEFI Secure Boot ingeschakeld, ongeacht het geïnstalleerde besturingssysteem.
ESET meldde deze bevindingen in juni 2024 aan het CERT Coordination Center (CERT/CC), dat met succes contact opnam met de betrokken leveranciers. Inmiddels is het probleem verholpen in de getroffen producten, en Microsoft heeft de kwetsbare binaries ingetrokken via de Patch Tuesday-update van 14 januari 2025.
De getroffen UEFI-toepassing maakt deel uit van verschillende realtime systeemherstelsoftwarepakketten van bedrijven als Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc., en Signal Computer GmbH.
“Belangrijke zorgen rondom UEFI-kwetsbaarheden”
“Het aantal ontdekte UEFI-kwetsbaarheden in de afgelopen jaren en de tekortkomingen in het tijdig patchen of intrekken van kwetsbare binaries laten zien dat zelfs een cruciale functie zoals UEFI Secure Boot geen ondoordringbare barrière is,” aldus ESET-onderzoeker Martin Smolár, die de kwetsbaarheid ontdekte. “Wat ons echter het meest zorgen baart, is niet de tijd die nodig was om de kwetsbaarheid op te lossen, die relatief kort was in vergelijking met andere gevallen, maar het feit dat dit niet de eerste keer is dat een duidelijk onveilige ondertekende UEFI-binary wordt ontdekt. Dit roept vragen op over hoe vaak dergelijke onveilige technieken worden gebruikt door derde-partij UEFI-softwareleveranciers en hoeveel soortgelijke obscure, maar ondertekende bootloaders er nog kunnen zijn.”
Misbruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware is geïnstalleerd. Aanvallers kunnen hun eigen kopie van de kwetsbare binary meenemen naar elk UEFI-systeem dat gebruikmaakt van het Microsoft derde-partijscertificaat. Daarnaast zijn verhoogde privileges vereist om de kwetsbare en kwaadaardige bestanden naar de EFI-systeempartitie te plaatsen (lokale beheerder op Windows; root op Linux). De kwetsbaarheid wordt veroorzaakt door het gebruik van een aangepaste PE-loader in plaats van de standaard en veilige UEFI-functies LoadImage en StartImage. Alle UEFI-systemen met ingeschakelde Microsoft derde-partij UEFI-ondertekening zijn kwetsbaar (Windows 11 Secured-core PC’s hebben deze optie standaard uitgeschakeld).