Microsoft lekt policy waarmee Secure Boot kan worden omzeild

  1. 12 aug 2016
  2. 0 reacties

Een Secure Boot-policy waarmee het mogelijk is Secure Boot op Windows-apparaten te omzeilen is door Microsoft per ongeluk meegeleverd op Windows-apparaten die verkocht worden in de winkel. Met behulp van de policy is het mogelijk andere besturingssystemen te installeren door Secure Boot te omzeilen, maar maakt het ook mogelijk root- en bootkits te installeren op Windows-apparaten.

De policy is ontdekt door de beveiligingsonderzoekers ‘MY123’ en ‘Slipstream’. Secure Boot is onderdeel van de UEFI-firmware en zorgt dat alleen ondertekende onderdelen tijdens het opstartproces geladen kunnen worden. Dit betekent onder andere dat het niet mogelijk is een ander besturingssysteem op een apparaat te zetten, maar voorkomt ook dat rootkits geïnstalleerd kunnen worden.

Testsigning

De onderzoekers hebben in de Redstone-versie van Windows een nieuw type aanvullende Secure Boot-policy aangetroffen. Deze blijkt niet te zijn voorzien van een device id, wat ‘testsigning’ mogelijk maakt. Dit maakt het mogelijk voor debugging-doeleinden besturingssystemen te testen op apparaten zonder deze te hoeven ondertekenen. Deze is echter achtergebleven in de productieversie van het besturingssysteem.

Het uitlekken van de Secure Boot-policy brengt risico’s met zich mee. Zo geeft dit cybercriminelen de mogelijkheid in sommige gevallen een root- of bootkit te installeren, die zich nestelt in de firmware van een machine.

Patches

Microsoft heeft al een tweetal patches uitgebracht in een poging het probleem op te lossen. Bij de eerste patch, die in juni werd vrijgegeven, werden een aantal policy’s aan een zwarte lijst toegevoegd. De onderzoekers stellen echter dat deze maatregel eenvoudig omzeild kan worden door een oudere bootmgr te gebruiken. Deze week is een tweede patch beschikbaar gesteld, waarin verschillende boot managers zijn teruggetrokken. Ook dit lost het probleem echter niet op, aangezien het onmogelijk is alle boot managers terug te trekken zonder nieuwe problemen te creëren. Naar verwachting komt Microsoft daarom op korte termijn met een derde patch waarin het probleem alsnog wordt opgelost.

In hun verklaring over de uitgelekte Secure Boot-policy wijzen ‘MY123’ en ‘Slipstream’ er ook op dat dit incident aantoont waarom het aanbrengen van backdoors in systemen een slecht idee is. Een dergelijke ‘sleutel’ tot systemen kan immers altijd uitlekken, waarna ook kwaadwillenden deze kunnen misbruiken.