Skip to main content

Microsoftin Secure Boot on ollut haavoittuva 13 vuotta, koska yhtiö ei ole peruuttanut haavoittuvia allekirjoitettuja shim-tiedostoja. Riski koskee Windows- ja Linux-laitteita.

Tietoturvatutkijat ovat havainneet kriittisen puutteen Microsoftin Secure Boot -suojauksessa, joka on ollut ohitettavissa lähes koko 14-vuotisen historiansa ajan. ESET-yhtiön tutkijat tunnistivat 11 viallista firmware-kuvaa, eli niin kutsuttua shim-tiedostoa, jotka on yhä varustettu Microsoftin virallisella digitaalisella allekirjoituksella. Vanhin tunnistetuista haavoittuvista tiedostoista on peräisin vuodelta 2013, mutta niitä ei ole koskaan asianmukaisesti mitätöity.

Shim-tiedostot kehitettiin alun perin laajentamaan Secure Bootin käyttöä Linux-ympäristöihin ja erilaisiin apuohjelmiin, mutta niiden virheellinen hallinta mahdollistaa nyt suojauksen kiertämisen. Hyökkäys on toteutettavissa suhteellisen helposti, sillä se vaatii vain näiden julkisesti saatavilla olevien, haavoittuvien tiedostojen hyödyntämistä. Tämä UEFI- (Unified Extensible Firmware Interface) tasolla tapahtuva kiertotie mahdollistaa suojamekanismien täydellisen ohittamisen.

Uhka on merkittävä sekä Windows- että Linux-käyttäjille, sillä haavoittuva shim voidaan asentaa kumpaankin käyttöjärjestelmään. Kun hyökkääjä onnistuu murtamaan digitaalisesti allekirjoitetun käynnistysketjun, hän voi ladata laitteeseen haitallista laiteohjelmistoa. Tämä haittaohjelma latautuu tietokoneen käynnistysprosessin varhaisessa vaiheessa, jolloin se säilyy järjestelmässä jopa käyttöjärjestelmän uudelleenasennuksen tai kiintolevyn vaihdon jälkeen.

Tilanne on seurausta Microsoftin laiminlyönnistä, sillä yhtiö ei ole huolehtinut tunnettujen haavoittuvien tiedostojen revokoinnista eli allekirjoitusten mitätöinnistä. MSP-toimijoiden ja IT-ylläpidon on tärkeää ymmärtää, että laitteiston juuritason luottamusketju on vaarantunut näiden vanhojen komponenttien vuoksi. Toistaiseksi paras puolustuskeino on seurata Microsoftin tulevia ohjeistuksia firmware-päivityksistä ja suojautua epäluotettavien shim-tiedostojen lataamiselta.

Tärkeimmät pointit

  • Secure Boot -suojaus on ollut ohitettavissa 13 vuoden ajan
  • ESET-tutkijat tunnistivat 11 virheellisesti allekirjoitettua shim-tiedostoa
  • Vanhin haavoittuva tiedosto on peräisin vuodelta 2013
  • Hyökkäys mahdollistaa haitallisen firmwaren lataamisen ennen käyttöjärjestelmää
  • Vaara säilyy kiintolevyn vaihdon tai OS-uudelleenasennuksen jälkeen
  • Haavoittuvuus koskee sekä Windows- että Linux-ekosysteemejä

Linkit ja lähteet


Lähde: Ars Technica — alkuperäinen artikkeli julkaistu 14.7.2026