
Peneliti ESET menemukan 11 UEFI shim bootloader yang sudah usang namun masih ditandatangani oleh Microsoft dan dipercaya oleh sistem UEFI di seluruh dunia. Bootloader-bootloader ini, yang berada pada versi 0.9 ke bawah, memungkinkan penyerang untuk melewati UEFI Secure Boot pada mesin apa pun yang mempercayai sertifikat `Microsoft Corporation UEFI CA 2011`. Dua CVE telah ditugaskan untuk kasus ini, yaitu CVE-2026-8863 dan CVE-2026-10797. Microsoft telah mencabut binary-binary ini melalui pembaruan dbx pada Patch Tuesday, 9 Juni 2026, namun kerentanan ini mengungkap masalah mendasar dalam ekosistem signing UEFI yang perlu mendapat perhatian serius.
APA YANG TERJADI?
UEFI shim bootloader merupakan komponen perantara yang ditandatangani oleh Microsoft dan berfungsi sebagai second-stage bootloader untuk distro Linux dan software UEFI lainnya. Desain ini memungkinkan software pihak ketiga untuk berjalan di bawah UEFI Secure Boot tanpa harus mendapatkan tanda tangan langsung dari Microsoft untuk setiap pembaruan. Namun, 11 shim yang ditemukan oleh ESET masih berada pada versi 0.9 atau lebih rendah dan memiliki beberapa kelemahan kritis: mereka tidak mematuhi mekanisme MOK denylist (MokListX), tidak mendukung SBAT (Secure Boot Advanced Targeting) untuk revocation berbasis versi, dan mengandung bug yang memungkinkan bypass mekanisme revocation berbasis sertifikat. Yang paling kritis, eksploitasi tidak memerlukan target menjalankan software atau OS tertentu karena penyerang dapat membawa copy vulnerabel shim mereka sendiri ke system yang memiliki sertifikat Microsoft UEFI CA 2011 terdaftar di db.
DETAIL TEKNIS
CVE-2026-10797 mengungkap kelemahan pada mekanisme revocation check di shim versi 0.9 ke bawah. Masalahnya terletak pada divergensi antara fungsi revocation check dan fungsi signature verification dalam membaca panjang signature dari binary PE. Fungsi revocation check menggunakan nilai panjang dari signature header, sementara fungsi signature verification menggunakan nilai dari PE header. Perbedaan ini memungkinkan penyerang untuk memodifikasi struktur `WIN_CERTIFICATE` pada second-stage bootloader sehingga fungsi revocation membandingkan dbx dan MokListX terhadap data palsu, bukan signature aktual bootloader. Akibatnya, bahkan jika sertifikat bootloader telah dicabut di dbx atau MokListX, shim tidak akan mendeteksinya. Selain itu, shim versi lama tidak melakukan enforce terhadap MokListX (mulai didukung di versi 0.9) dan SBAT (mulai didukung di versi 15.3), sehingga seluruh mekanisme revocation modern dapat dilewati. Sebagai contoh konkret, shim dari Oracle Linux yang dilaporkan menandatangani GRUB 2 binary dari Oracle Linux 7.1 yang terpengaruh CVE-2015-5281, yang memungkinkan loading kode tidak terverifikasi melalui modul multiboot2 tanpa memory corruption atau teknik exploitasi kompleks lainnya.
DAMPAK TERHADAP INDONESIA
Banyak organisasi di Indonesia, termasuk lembaga pemerintah, universitas, dan perusahaan, menggunakan sistem operasi Linux di server dan workstation mereka. UEFI Secure Boot merupakan mekanisme pertahanan pertama yang melindungi proses boot dari modifikasi berbahaya, dan kerentanan ini berpotensi melemahkan seluruh pertahanan tersebut. Sertifikat `Microsoft Corporation UEFI CA 2011` yang telah expired pada 27 Juni 2026 tetap dipercaya selama masih terdaftar di database db firmware, sehingga sistem yang belum memperbarui dbx tetap rentan. Dalam konteks BSSN dan kebijakan keamanan siber nasional, kerentanan ini menjadi pengingat bahwa mekanisme trusted boot harus diperkuat bukan hanya pada level software, tetapi juga pada level firmware. Organisasi Indonesia yang mengelola infrastruktur kritis seperti data center, jaringan telekomunikasi, atau sistem perbankan harus memastikan bahwa pembaruan dbx dari Microsoft telah diterapkan, dan urutan pembaruan dilakukan dengan benar: update komponen boot terlebih dahulu, baru kemudian menerapkan revocation list. Kegagalan dalam mengikuti urutan ini dapat menyebabkan sistem menolak komponen boot yang telah diperbarui.
REKOMENDASI MITIGASI
Segera terapkan pembaruan dbx terbaru dari Microsoft yang dirilis pada Patch Tuesday 9 Juni 2026. Untuk sistem Windows, pembaruan ini harus diterapkan secara otomatis melalui Windows Update, namun administrator dapat memverifikasi dengan menjalankan script PowerShell yang tersedia di laporan ESET. Untuk sistem Linux, perbarui melalui Linux Vendor Firmware Service (LVFS) dan verifikasi status revocation menggunakan script `uefi-dbx-audit`. Pastikan urutan pembaruan benar: perbarui komponen boot (shim, GRUB, boot manager) terlebih dahulu sebelum menerapkan daftar revocation dbx untuk menghindari sistem menolak komponen yang telah diperbarui. Audit seluruh sistem untuk memastikan tidak ada binary shim lama yang masih dipercaya dan belum terrevokasi. Untuk organisasi yang mengeloladeployment besar, prioritaskan pemeriksaan dan deployment pembaruan ini untuk mencegah eksekusi binary yang tidak dipercaya selama proses boot, baik pada mesin fisik maupun virtual.
Analisa Retasan
Penemuan ESET terhadap 11 UEFI shim bootloader terlupakan ini menyoroti kelemahan sistemik dalam ekosistem signing UEFI yang dipimpin Microsoft. Masalah mendasarnya bukan pada adanya vulnerability baru yang canggih, melainkan pada ketidakmampuan industri untuk secara efektif mencabut komponen lama yang sudah tidak aman. Seperti yang dicatat oleh Red Hat Bootloader Team, satu peristiwa revocation pada kasus BootHole (CVE-2020-10713) saja menghabiskan sepertiga kapasitas dbx (32kB), yang menunjukkan bahwa pendekatan revocation berbasis hash tidak scalable. Inilah yang mendorong pengenalan SBAT dan mekanisme revocation berbasis versi, namun komponen lama yang tidak mendukung fitur-fitur ini tetap menjadi celah kritis.
CVE-2026-10797 sangat menarik karena bug ini sebenarnya sudah diperbaiki hampir satu dekade lalu di commit upstream shim `d241bbb`, namun tidak pernah mendapat CVE ID hingga laporan ESET. Kelemahan teknisnya sendiri sangat elegan: divergensi dalam pembacaan panjang signature antara revocation check dan signature verification memungkinkan bypass mekanisme revocation berbasis sertifikat. Ini bukan kasus pertama UEFI Secure Boot berhasil dibypass. CVE-2022-34302 (Batam), CVE-2023-28005, CVE-2024-7344, dan CVE-2026-25250 semuanya menunjukkan bahwa attack surface UEFI Secure Boot jauh lebih luas dari yang diasumsikan banyak orang. Kasus BlackLotus dan Bootkitty semakin memperkuat bahwa bootkit UEFI menjadi ancaman nyata yang semakin mature.
Bagi Indonesia, temuan ini memiliki implikasi kritis terutama bagi sektor yang mengandalkan Secure Boot sebagai lapisan pertahanan, seperti perbankan, telekomunikasi, dan infrastruktur pemerintah. Banyak server dan workstation di Indonesia menjalankan Linux distro yang bergantung pada UEFI shim untuk booting, dan jika sistem tersebut belum menerapkan dbx update terbaru, mereka berada dalam risiko serangan bootkit. BSSN dan tim SOCSIRT nasional harus mempertimbangkan untuk menerbitkan advisory mendesak mengenai pentingnya pembaruan dbx, sekaligus mengedukasi administrator sistem tentang urutan deployment yang benar. Dalam jangka panjang, industri perlu bergerak menuju transparansi penuh dalam ekosistem signing UEFI, di mana setiap binary yang ditandatangani Microsoft dapat di-track, di-audit, dan di-revoke secara efektif tanpa batasan kapasitas dbx.
Sumber: WeLiveSecurity – Forgotten UEFI shims undermining Secure Boot

