Drei Firmen haben Probleme bei dem UEFI-Bootloadern, welche das Secure-Boot-Feature aushebeln konnten. Microsoft hat dieser Sicherheitslücke nun mittels eines Windows-Updates einen Riegel vorgeschoben.
Gleich drei Firmen bieten unsichere Bootloader an, welche das Secure-Boot-Feature auszuhebeln können. Da ein UEFI-Update zu viel Zeit in Anspruch nehmen würde, um das Problem zu beheben, hat Microsoft selbst ein Windows-Update für die Versionen 8.1, 10 und 11 sowie allen Server-Version ab 2012 ausgerollt. Mit dem aktuellen Windows-Update KB5012170 wurden drei Bootloader der Firmen Eurosoft UK Ltd., New Horizon Datasys oder Cryptware gesperrt.
Konkret ging es bei dem Patch wohl um die Blockade der sogenannten Schlüsseldatenbank DBX, welche jedes UEFI-BIOS im nichtflüchtigem Speicher ablegt und die im Secure-Boot-Modus vor dem Laden des Bootloader überprüft wird. Sollte eine Signatur dort abgelegt worden sein, welche nicht in der Datenbank vorkommt oder auf der Liste der gesperrten Signaturen steht, wird der Bootloader gar nicht erst ausgeführt.
Die Sicherheitslücken von Bootloader gelten als besonders gefährlich, da sie die Manipulation des Systems auf einer Ebene ermöglichen, welche noch vor den eingebauten Sicherheitsmechanismen des Betriebssystems greifen.
Microsoft geht nun mit einem Update der DBX-Datenbank gegen die Probleme vor, bislang haben die Firmen allerdings keine Angabe gemacht, welche Sicherheitslücken durch die Verwendung der unsicheren Bootloader genau aufgetreten sind, oder ob die Sicherheitslücken auch schon ausgenutzt werden könnten.
Einige Anwender der Programme von Eurosoft UK Ltd., New Horizon Datasys oder Cryptware melden nach dem Update, dass es zu einer Bootschleife kommen kann und das Betriebssystem gar nicht mehr erfolgreich geladen werden kann. In diesem Fall empfiehlt Microsoft die Installation einer aktuellen UEFI-Firmware oder die entsprechenden Programme nach einem Rollback zu einer älteren Version zu deinstallieren.