Advertentie
De kwetsbaarheid maakt gebruik van onbeschermde NVRAM variabelen. Aangezien deze variabelen betrouwbaar worden geacht door de UEFI BIOS leidt dit ertoe dat aanvallers malafide code tijdens het bootproces kunnen laten uitvoeren. Deze kwetsbaarheid heeft de naam EUVD-2025-17820 in de recent gelanceerde Europese cyber security kwetsbaarheden lijst.
Door dit ene mechanisme zouden er twee kwetsbaarheden aanwezig zijn in verschillende UEFI BIOS implementaties. De eerste van deze maakt het mogelijk om Secure Boot te omzeilen, terwijl de andere het mogelijk maakt om firmware binnen de BIOS aan te passen. Beide brengen grote risico’s met zich mee, waardoor de mogelijkheid tot het omzeilen van SecureBoot een CVSS score van 8,2 meekrijgt en het aanpassen van firmware een 7,8.
Gelukkig achten de onderzoekers en Enisa de kans zeer klein dat de kwetsbaarheden misbruikt zijn, of zullen worden in de aankomende periode. Dit komt mede doordat veel systemen geen gevaar lopen. Enkel systemen die gebruik maken van de DTBIOS/BIOSFlashShell tools in de Insyde BIOS van DT Research zijn ontvankelijk voor de SecureBoot kwetsbaarheid. Deze BIOS wordt bijvoorbeeld gebruikt in enkele laptops van Gigabyte. Het is nog niet duidelijk of ook andere laptopfabrikanten getroffen zijn, maar de meeste getroffen systemen zullen waarschijnlijk bij cloudproviders e.d. bedrijven terug te vinden zijn.
Inmiddels zijn er al updates om de kwetsbaarheden het hoofd te bieden en zal Microsoft binnenkort een update doen aan het DBX bestand dat het uitvoeren van kwetsbare onderdelen onder Secure Boot stopt. De tweede kwetsbaarheid maakt echter gebruik van de Insyde H2O UEFI firmware-app. Hiermee kan malafide firmware gedraaid worden en dit probleem lijkt wijder verspreid te zijn dan de eerst beschreven kwetsbaarheid. Om deze op te lossen is sowieso een firmware update vereist, ook is het nog niet precies duidelijk welke systemen allemaal getroffen zijn.