Hirdetés

Több mint egy évtizeden át kijátszható volt a Secure Boot



|

Elfelejtett Linux-indítók nyitottak utat a bootkiteknek.

Hirdetés

Az ESET kutatói 11 olyan régi, Microsoft által digitálisan aláírt rendszerindító komponenst találtak, amelyekkel meg lehetett kerülni a Windows és a Linux rendszerű számítógépeket egyaránt védő UEFI Secure Bootot. A legkorábbi érintett fájlok közül néhány még 2013-ból származik, a Microsoft azonban csak 2026 júniusában vonta vissza a beléjük vetett bizalmat. A Secure Boot feladata, hogy a számítógép bekapcsolása után csak digitálisan hitelesített programok indulhassanak el, mielőtt betöltődik az operációs rendszer. Ezzel elsősorban a bootkitek ellen védekezik, amelyek már a Windows vagy a Linux elindulása előtt működésbe léphetnek, így elrejtőzhetnek a hagyományos vírusirtók és más biztonsági megoldások elől. A problémát az úgynevezett shimek okozták. Ezek olyan kis rendszerindító programok, amelyeket eredetileg azért vezettek be, hogy a különböző Linux-disztribúciók is használhassák a Secure Bootot. A Microsoft aláírja a shim fájlt, az pedig ezt követően ellenőrzi a Linux saját rendszerbetöltőjét, rendszerint a GRUB 2-t, majd az operációs rendszer további elemeit.

A kutatók által megtalált régi shimeket annak idején szabályosan aláírta a Microsoft, több azonban ismert sérülékenységeket tartalmazott, vagy olyan időszakból származott, amikor a később bevezetett biztonsági megoldások még nem léteztek. Ennek ellenére nem kerültek fel a Secure Boot tiltólistájára, így a számítógépek évekkel később is megbízható fájlként kezelték őket. A támadónak még az érintett Linux-disztribúciót vagy programot sem kellett megtalálnia a célba vett számítógépen. Elég volt magával vinnie egy példányt a régi shimből, valamint az általa engedélyezett, sebezhető második rendszerbetöltőből. Ezek segítségével a Secure Boot bekapcsolt állapotában is elindíthatott nem hitelesített kódot.

Hirdetés

Az egyik bemutatott támadás egy Oracle Linuxhoz készült shimre és egy 2015 óta ismert sérülékenységet tartalmazó GRUB 2-verzióra épült. A módszerhez nem volt szükség összetett memóriakezelési hibák kihasználására vagy komoly visszafejtési ismeretekre. A kutatók szerint egy megfelelően elkészített fájl és néhány egyszerű rendszerindító parancs is elegendő lehetett. A sikeres támadás után rosszindulatú kód futhatott le még az operációs rendszer elindulása előtt. Ezzel bootkitet lehetett telepíteni, módosított rendszermagot betölteni vagy olyan tartós hozzáférést kialakítani, amely túlélhette a számítógép újraindítását, a háttértár cseréjét, sőt bizonyos esetekben akár az operációs rendszer újratelepítését is.

A sebezhetőség Windows és Linux rendszerű számítógépeket egyaránt érinthetett, amennyiben azok UEFI-je megbízhatónak tekintette a Microsoft külső fejlesztők számára fenntartott, 2011-es tanúsítványát. A Windows 11 fokozottan védett, úgynevezett Secured-core gépein ez a külső hitelesítés alapértelmezés szerint ki lehet kapcsolva, ezért azok nem feltétlenül voltak sebezhetők. A támadás ugyanakkor nem tette lehetővé, hogy bárki az interneten keresztül, egyetlen kattintással átvegye az irányítást egy tetszőleges számítógép felett. A CERT/CC szerint a kihasználáshoz rendszergazdai jogosultságra, fizikai hozzáférésre vagy a rendszerindítási folyamat módosításának más lehetőségére volt szükség. Egy már részben feltört gépen azonban a módszer jelentősen megkönnyíthette a mélyebb és tartósabb fertőzés kialakítását.

Az ESET 2026 februárjában értesítette a CERT/CC-t, amely a Microsofttal és az érintett gyártókkal együtt kezdte meg a hiba kezelését. A Microsoft végül a június 9-én kiadott frissítésben helyezte tiltólistára a 11 sérülékeny fájlt, így a naprakész rendszereknek már el kell utasítaniuk azok elindítását. A javítás a dbx nevű Secure Boot-adatbázist frissíti, amely a visszavont tanúsítványokat és tiltott fájlokat tartalmazza. A Windows-felhasználóknak ezért érdemes telepíteniük a Microsoft legújabb biztonsági frissítéseit. A Linuxot használóknak az operációs rendszerük és a rendszerbetöltő csomagjainak frissítése mellett meg kell győződniük arról is, hogy a legújabb dbx-adatbázis került a gépükre.

A felfedezés nem azt jelenti, hogy a Secure Boot 2013 óta minden számítógépen teljesen hatástalan volt. A probléma inkább azt mutatja meg, hogy a védelmi rendszer csak addig lehet megbízható, amíg a korábban engedélyezett, de később sebezhetőnek bizonyult komponenseket következetesen vissza is vonják. Ebben az esetben ez több fájlnál több mint tíz évig nem történt meg.

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.