Jena - Sicherheitsforscher von ESET haben eine Schwachstelle entdeckt, die eine der wichtigsten Sicherheitsfunktionen moderner Computer untergräbt. Betroffen sind potenziell Millionen Windows- und Linux-Systeme weltweit, auf denen die Sicherheitsfunktion Secure Boot aktiviert ist. Dabei wird eine Funktion missbraucht, die eigentlich dazu da ist, Linux trotz aktiviertem Secure Boot starten zu können. Die Forscher identifizierten elf veraltete, aber weiterhin als vertrauenswürdig eingestufte Systemkomponenten, mit deren Hilfe Angreifer Schutzmechanismen beim Start eines Computers umgehen könnten. Besonders brisant: Die betroffenen Komponenten waren von Microsoft signiert und galten dadurch auf vielen Computern automatisch als vertrauenswürdig.
"Das Überraschende an diesem Fall ist, dass Angreifer vorhandene Schwachstellen nutzen können", erklärt ESET-Forscher Martin Smolár, der die Untersuchungen leitete. "Bereits eine alte, weiterhin akzeptierte Software-Komponente reicht aus, um einen zentralen Schutzmechanismus moderner Computer auszuhebeln."Angriff bereits vor dem Start von Windows möglichDie Schwachstelle betrifft sogenannte UEFI-Shims. Das sind kleine Programme, die beim Start des Computers zwischen der Firmware des Geräts und dem Betriebssystem vermitteln. Die von ESET entdeckten, veralteten Versionen können dazu missbraucht werden, Schadcode bereits während des Startvorgangs auszuführen, noch bevor Windows oder Linux vollständig geladen sind. Dadurch könnten Angreifer sogenannte Bootkits installieren. Diese besonders gefährliche Form von Schadsoftware arbeitet tief im System und ist oft schwer zu erkennen oder zu entfernen.Ein ungewöhnlicher Aspekt der Entdeckung: Die betroffenen Programme müssen nicht einmal auf dem Rechner installiert sein. Stattdessen können Angreifer eigene Kopien der verwundbaren Komponenten auf ein Zielsystem bringen und diese missbrauchen. Dadurch sind nicht nur Nutzer bestimmter Programme oder Linux-Distributionen betroffen, sondern grundsätzlich alle Systeme, die den entsprechenden Microsoft-Signaturen vertrauen.Altes Problem mit aktueller RelevanzDie entdeckten Komponenten stammen teilweise aus Softwarepaketen, die vor mehr als zehn Jahren erstellt wurden. Die Schwachstelle an sich ist daher nicht neu. Problematisch ist vielmehr, dass die veralteten Programme weiterhin als vertrauenswürdig galten und dadurch auf aktuellen Systemen eingesetzt werden konnten.Der Fall zeigt eine wachsende Herausforderung für Hersteller und IT-Verantwortliche auf: Nicht nur neue Sicherheitslücken stellen ein Risiko dar. Auch veraltete, längst vergessene und scheinbar sichere Komponenten können Systeme tiefgreifend gefährden.Schutzmaßnahmen bereits eingeleitetESET meldete die Funde an das Computer Emergency Response Team CERT/CC. In der Folge wurden die betroffenen Komponenten von Microsoft gesperrt, sodass sie künftig nicht mehr als vertrauenswürdig akzeptiert werden.Windows-Nutzer erhalten die notwendigen Schutzmaßnahmen über reguläre Sicherheitsupdates. Linux-User greifen auf entsprechende Aktualisierungen über die jeweiligen Firmware- und Software-Update-Dienste ihrer Distribution zurück.Weitere Informationen gibt es in ESETs aktuellem Blogpost "Vergessene UEFI-Shims untergraben Secure Boot ( https://www.welivesecurity.com/de/eset-research/vergessene-uefi-shims-untergraben-secure-boot )" auf Welivesecurity.com.(Ende)Aussender: ESET Deutschland GmbH Ansprechpartner: Philipp Plum Tel.: +49 3641 3114 141 E-Mail: philipp.plum@eset.com Website: www.eset.de