UEFI Secure Boot: Microsoft sperrt unsichere Bootloader per Windows-Update
Der UEFI-Code von drei Firmen enthält Sicherheitslücken, die Secure Boot aushebeln können. Microsoft zieht Konsequenzen per Windows-Update.
(Bild: c't)
Microsoft blockiert über das Windows-Update KB5012170 drei unsichere Bootloader der Firmen Eurosoft UK Ltd., New Horizon Datasys oder Cryptware, weshalb sie bei aktiviertem Secure Boot nicht mehr geladen werden. Das Update gibt es für Windows 8.1, 10 und 11 sowie alle Server-Versionen ab 2012.
Die Blockade läuft über die sogenannte Schlüsseldatenbank DBX, die jedes UEFI-BIOS in nichtflüchtigem Speicher ablegt. Im Secure-Boot-Modus wird vor dem Laden jedes Bootloaders überprüft, ob dessen Signatur dort abgelegt ist. Falls diese nicht in der Liste der erlaubten Signaturen DB steht oder gar in der Liste der gesperrten Signaturen DBX enthalten ist, wird der Bootloader nicht ausgeführt.
Bootloader-Sicherheitslücken besonders gefährlich
Nachträgliche Blockaden kommen gelegentlich vor, wenn Sicherheitslücken in Bootloadern bekannt werden. Diese sind besonders tückisch, da sie Manipulationen auf der tiefsten Systemebene ermöglichen, noch bevor das Betriebssystem mit seinen eingebauten Sicherheitsmechanismen startet.
Im jüngsten Fall hat die Sicherheitsfirma Eclypsium die Sicherheitslücken entdeckt:
- CVE-2022-34301 – Eurosoft (UK) Ltd
- CVE-2022-34302 – New Horizon Datasys Inc
- CVE-2022-34303 – CryptoPro Secure Disk for BitLocker
Die Krux dabei: Die drei Unternehmen schweigen sich zu den Problemen bislang aus. Welche Bootloader von welchen Tools betroffen sind, ist nicht bekannt. Nach dem Windows-Update, welches die DBX-Datenbank der Systeme verändert, startet Software mit den fehlerhaften Bootloadern jedenfalls nicht mehr.
Microsoft bügelt über das Update der DBX-Datenbank letztlich Versäumnisse der erwähnten Firmen aus, soweit möglich.
(mma)
