ESET Research ontdekt kwetsbaarheid die UEFI Secure Boot omzeilt

• ESET-onderzoekers hebben een nieuwe kwetsbaarheid ontdekt, CVE-2024-7344, die actoren in staat stelt UEFI Secure Boot te omzeilen op de meeste UEFI-gebaseerde systemen.
• Misbruik van deze kwetsbaarheid maakt het mogelijk om niet-vertrouwde code uit te voeren tijdens het opstarten van een systeem, waarmee kwaadaardige UEFI-bootkits kunnen worden geïnstalleerd.
• Het probleem is opgelost door de betrokken leveranciers, en de kwetsbare binaries zijn door Microsoft ingetrokken via de Patch Tuesday-update van 14 januari 2025.

Sliedrecht, 16 januari 2025 – ESET –onderzoekers hebben een kwetsbaarheid ontdekt die de meeste UEFI-gebaseerde systemen beïnvloedt en waarmee actoren UEFI Secure Boot kunnen omzeilen. Deze kwetsbaarheid, aangeduid als CVE-2024-7344, werd aangetroffen in een UEFI-toepassing die is ondertekend met Microsoft’s “Microsoft Corporation UEFI CA 2011” derde-partijscertificaat. Misbruik van deze kwetsbaarheid kan leiden tot de uitvoering van niet-vertrouwde code tijdens het opstarten van een systeem, waardoor aanvallers eenvoudig kwaadaardige UEFI-bootkits, zoals Bootkitty of BlackLotus, kunnen inzetten. Dit geldt zelfs voor systemen met UEFI Secure Boot ingeschakeld, ongeacht het geïnstalleerde besturingssysteem.

ESET meldde deze bevindingen in juni 2024 aan het CERT Coordination Center (CERT/CC), dat met succes contact opnam met de betrokken leveranciers. Inmiddels is het probleem verholpen in de getroffen producten, en Microsoft heeft de kwetsbare binaries ingetrokken via de Patch Tuesday-update van 14 januari 2025.

De getroffen UEFI-toepassing maakt deel uit van verschillende realtime systeemherstelsoftwarepakketten van bedrijven als Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc., en Signal Computer GmbH.

“Belangrijke zorgen rondom UEFI-kwetsbaarheden”
“Het aantal ontdekte UEFI-kwetsbaarheden in de afgelopen jaren en de tekortkomingen in het tijdig patchen of intrekken van kwetsbare binaries laten zien dat zelfs een cruciale functie zoals UEFI Secure Boot geen ondoordringbare barrière is,” aldus ESET-onderzoeker Martin Smolár, die de kwetsbaarheid ontdekte. “Wat ons echter het meest zorgen baart, is niet de tijd die nodig was om de kwetsbaarheid op te lossen, die relatief kort was in vergelijking met andere gevallen, maar het feit dat dit niet de eerste keer is dat een duidelijk onveilige ondertekende UEFI-binary wordt ontdekt. Dit roept vragen op over hoe vaak dergelijke onveilige technieken worden gebruikt door derde-partij UEFI-softwareleveranciers en hoeveel soortgelijke obscure, maar ondertekende bootloaders er nog kunnen zijn.”

Misbruik van deze kwetsbaarheid is niet beperkt tot systemen waarop de getroffen herstelsoftware is geïnstalleerd. Aanvallers kunnen hun eigen kopie van de kwetsbare binary meenemen naar elk UEFI-systeem dat gebruikmaakt van het Microsoft derde-partijscertificaat. Daarnaast zijn verhoogde privileges vereist om de kwetsbare en kwaadaardige bestanden naar de EFI-systeempartitie te plaatsen (lokale beheerder op Windows; root op Linux). De kwetsbaarheid wordt veroorzaakt door het gebruik van een aangepaste PE-loader in plaats van de standaard en veilige UEFI-functies LoadImage en StartImage. Alle UEFI-systemen met ingeschakelde Microsoft derde-partij UEFI-ondertekening zijn kwetsbaar (Windows 11 Secured-core PC’s hebben deze optie standaard uitgeschakeld).

Mitigatie en updates
De kwetsbaarheid kan worden gemitigeerd door de nieuwste UEFI-intrekkingen van Microsoft toe te passen. Windows-systemen worden automatisch bijgewerkt. Microsoft’s advies over CVE-2024-7344 is beschikbaar via hun officiële kanalen. Voor Linux-systemen zijn updates beschikbaar via de Linux Vendor Firmware Service.

Een gedetailleerde analyse en technische uitleg van deze UEFI-kwetsbaarheid is te vinden in de nieuwste ESET Research-blogpost “Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344” op WeLiveSecurity.com. Volg ESET Research op X voor het laatste nieuws en inzichten.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.