Microsoft dicht een lek in Windows waarmee de Secure Boot-functie omzeild kon worden. De kwetsbaarheid was sinds vorige zomer bekend.
Microsoft heeft op 14 januari een patch uitgerold tegen CVE-2024-7344. Deze kwetsbaarheid maakte het mogelijk voor hackers om, met de juiste privileges, malware te installeren tijdens het opstarten en de Secure Boot-functie onschadelijk te maken. De update wordt uitgerold naar alle ondersteunde versies van Windows 11, Windows 10 en Windows Server.
lees ook
Secure Boot gekraakt: honderden pc’s kwetsbaar voor cyberdreigingen
De kwetsbaarheid werd afgelopen zomer ontdekt door Martin Smolár, een beveiligingsonderzoeker op de loonlijst van Eset. Secure Boot moet voorkomen dat ongeauthoriseerde software wordt uitgevoerd tijdens het opstarten. Het maakt daarvoor gebruik van een door Microsoft ontwikkeld certificeringsschema. Dit verkleint het risico dat malware of ander schadelijke virussen in actie schieten voor Windows opstart.
Voorbij de controle
Smolár kwam de kwetsbaarheid op het spoor in de softwaretoepassing SysReturn, een systeemherstelsoftwarepakket. Tijdens het opstarten maakt de software gebruik niet gebruik van de standaard controlemechanismen van SecureBoot, maar van een externe lader genaamd reloader.efi. Deze aangepaste lader voerde echter geen grondige controles uit en zette SecureBoot zelfs volledig buitenspel.
De toepassing was nochtans een door Microsoft goedgekeurde externe UEFI-toepassing. Dit bood kansen voor aanvallers om de lader op een apparaat te installeren en zo malware te draaien tijdens het opstarten zonder dat die door Secure Boot kon tegenhouden. Daarvoor moet de aanvaller wel eerst de admincontrole over het apparaat verkrijgen. Eens een malware zich in een vroeg stadium weet te nestelen in de firmware, geraak je er niet zo eenvoudig meer vanaf, zelfs niet als je de harde schijf opnieuw zou formatteren.
Patch voor Windows
De schadelijke lader werd uiteindelijk nog in zes andere softwaretoepassingen ontdekt. Smolár lichtte Microsoft en het CERT in juni vorig jaar in. Het heeft uiteindelijk tot nu geduurd vooraleer een patch heeft ontwikkeld die komaf maakt met de kwetsbaarheid.
Dat lijkt lang, maar een update aan Secure Boot vergt meer zorgvuldige voorbereiding dan een maandelijkse Windows-update. Fouten in Secure Boot kunnen ervoor zorgen dat je pc niet meer kan opstarten, dus kan Microsoft zich niet veroorloven een onstabiele update uit te rollen.
lees ook
Windows 11 weigert beveiligingsupdates te installeren
De kwetsbaarheid treft alle systemen die steunen op UEFI en kan in principe ook Linux treffen. De patch van Microsoft dicht het lek enkel in Windows-systemen: voor Linux lijkt nog geen oplossing in de maak.