In einem aktuellen Fund hat die Sicherheitsfirma ESET einen Fehler in einer UEFI-Anwendung entdeckt, der es böswilligen Akteuren ermöglicht, die UEFI Secure Boot-Funktion zu umgehen und Bootkits auf betroffenen Systemen zu implementieren. Der Fehler wurde in einer nicht näher benannten, aber anscheinend beliebten UEFI-Anwendung gefunden, die mit einem anfälligen Zertifikat signiert war. Dies ermöglichte es Angreifern, die UEFI Secure Boot zu umgehen und Bootkits auf Zielendpunkten zu deployen. ESET-Forscher meldeten den Fehler dem CERT-Koordinierungszentrum, und Microsoft veröffentlichte einen Fix im kumulativen Update für den Patch Tuesday im Januar 2025. Alle Windows-Benutzer werden dringend aufgefordert, diesen Patch so schnell wie möglich anzuwenden. UEFI Secure Boot ist eine Sicherheitsfunktion, die sicherstellt, dass ein Computer nur mit Software startet, der vom Hersteller vertraut wird, um vor Malware und nicht autorisierter Software beim Start zu schützen. Die betroffene UEFI-Anwendung scheint Teil von „mehreren Echtzeit-Systemwiederherstellungssoftware-Suiten“ zu sein, die von verschiedenen Unternehmen entwickelt wurden. Der Fehler war anfällig für CVE-2024-7344, der durch die Verwendung eines benutzerdefinierten PE-Laders verursacht wurde anstelle der Verwendung der standardmäßigen und sicheren UEFI-Funktionen LoadImage und StartImage. Alle UEFI-Systeme mit der von Microsoft aktivierten Drittanbieter-UEFI-Signierung waren betroffen. Der Fehler kann dazu führen, dass „bei Systemstart nicht vertrauenswürdiger Code ausgeführt wird, was potenziellen Angreifern ermöglicht, problemlos bösartige UEFI-Bootkits zu implementieren“, selbst auf geschützten Geräten. Es gibt Bedenken hinsichtlich der Anzahl von UEFI-Schwachstellen, die in den letzten Jahren entdeckt wurden, und des Versäumnisses, sie oder anfällige Binärdateien innerhalb eines angemessenen Zeitrahmens zurückzuziehen. ESET betonte auch, dass die Liste der gefährdeten Geräte über diejenigen mit der betroffenen Recovery-Software hinausgeht. Kriminelle können ihre eigene Kopie der gefährdeten Binärdatei in jedes UEFI-System mit dem von Microsoft genehmigten Drittanbieter-UEFI-Zertifikat bringen.