Sicherheitsforscher von Eset haben elf veraltete UEFI-Shims entdeckt, die Angreifern seit mehr als einem Jahrzehnt erlauben, Secure Boot zu umgehen. Damit lässt sich gefährliche Bootkit-Malware an den Sicherheitsmechanismen vorbeischmuggeln.
Was sind Shims und warum ist das ein Problem?
Shims sind Bootloader, die Microsoft vor Jahren als vertrauenswürdig eingestuft und mit seinem Drittanbieter-UEFI-Zertifikat "Microsoft Corporation UEFI CA 2011" signiert hatte. Die betroffenen Shims wurden über verschiedene Werkzeuge und Linux-Distributionen verbreitet, darunter PC-Diagnosesoftware sowie CentOS und openSUSE. Die älteste von den Forschern gefundene Signatur stammt aus dem Jahr 2013.
Obwohl die Sicherheitslücken bekannt waren, hat Microsoft die Shims lange nicht widerrufen. Das gab Angreifern mit lokalem Zugriff die Möglichkeit, eine eigene Kopie einer verwundbaren Binärdatei auf ein Zielsystem zu übertragen und Secure Boot damit zu unterlaufen. Voraussetzung ist lediglich, dass das betreffende UEFI-Zertifikat auf dem System hinterlegt ist, was auf den meisten modernen Rechnern der Fall ist.
Bootkits als Folge
Gelingt ein solcher Angriff, können Angreifer Bootkits einschleusen. Diese Malware startet schon vor dem Betriebssystem, kann gängige Sicherheitsmechanismen aushebeln und entzieht sich so der Erkennung durch Antivirensoftware. Ein bekanntes Beispiel ist das Bootkit Blacklotus, das seit Jahren öffentlich auf GitHub verfügbar ist.
Gegenmaßnahmen
Eset meldete die Funde am 16. Februar 2026 an das CERT/CC. Die Lösung ist ein DBX-Update, das die Hashes der betroffenen Shims auf eine Sperrliste setzt. Windows-Systeme haben dieses Update mit den Patches vom 9. Juni erhalten. Linux-Nutzer sollten ihre Bootloader-Pakete aktualisieren, da die Updates auch SBAT-Schutzmaßnahmen enthalten.