“Na DefCon 30, Jesse Michael e Mickey Shkatov criticaram fortemente o atual ambiente Secure Boot e a prática da Microsoft de assinar outros bootloaders com seu próprio certificado. Durante sua apresentação, os dois pesquisadores de segurança mostraram como é fácil enganar o UEFI Secure Boot.” [1]
Embora a Microsoft tenha uma presença enorme no ecossistema UEFI Secure Boot desde que estabeleceu sua própria CA em 2011, Shkatov disse que a empresa não tem dado muita visibilidade de seus carregadores de inicialização para a comunidade infosec.
“Existem X quantidades de bootloaders no mundo assinados pela Microsoft desde 2011”. Há apenas uma organização que sabe quantos bootloaders e quais versões estão por aí", disse ele. “E há exatamente zero organizações externas com as quais eles estão dispostos a compartilhar essa informação”.
(…)
Durante a apresentação do DEF CON, Michael e Shkatov detalharam as três vulnerabilidades do bootloader, que eles compararam com a vulnerabilidade do BootHole Eclypsium descoberta no bootloader do GRUB2 Linux em 2020. Duas das falhas, CVE-2022-34301 e CVE-2022-34303, são semelhantes porque os respectivos fornecedores, Eurosoft e Kidan, usam shells UEFI assinadas em seus bootloaders.Os pesquisadores explicaram que um atacante poderia usar os shells para escapar das verificações de Boot Seguro. “Eles não são bons se você quiser segurança”, disse Shkatov durante a apresentação. [2]
Enquanto a Microsoft assinar muitos carregadores de terceiros, o Secure Boot não é um verdadeiro obstáculo para os atacantes, mas torna a vida desnecessariamente difícil para os usuários do Linux. Ontem, a Microsoft anunciou o bloqueio de três bootloaders inseguros via Windows Update, e é por isso que eles não podem mais ser carregados quando o Secure Boot é ativado. No entanto, provavelmente não há nenhuma conexão com a palestra da DefCon. [1]
[1] DefCon 30: Incertezas devidas à Microsoft no UEFI Secure Boot (em alemão)
[2] Eclypsium chama a atenção da Microsoft para problemas de segurança em bootloaders (em inglês)