Новая уязвимость обхода UEFI Secure Boot, отслеживаемая как CVE-2024-7344 и затрагивающая приложения, подписанные Microsoft, может быть использована для установки буткитов, даже если защита Secure Boot активна.
Уязвимое приложение UEFI присутствует в нескольких инструментах восстановления системы в реальном времени от сторонних разработчиков.
Буткиты представляют собой критически важную угрозу безопасности, которую сложно обнаружить, поскольку они начинают действовать до загрузки операционной системы и выживают после ее переустановки.
Основная проблема
Проблема связана с использованием в приложении пользовательского PE-загрузчика, который позволяет загружать любые двоичные файлы UEFI, даже если они не подписаны.
В частности, уязвимое приложение UEFI не полагается на доверенные службы, такие как „LoadImage“ и „StartImage“, которые проверяют двоичные файлы по базе данных доверия (db) и базе данных отзыва (dbx).
В этом контексте „reloader.efi“ вручную расшифровывает и загружает в память двоичные файлы из „cloak.dat“, который содержит элементарный зашифрованный XOR PE-образ.
Этот небезопасный процесс может быть использован злоумышленником путем замены стандартного загрузчика ОС на EFI-разделе на уязвимый „reloader.efi“ и подстановки вредоносного файла „cloak.dat“ по его номинальным путям.
При загрузке системы пользовательский загрузчик расшифрует и выполнит вредоносный двоичный файл без проверки Secure Boot.

Область воздействия
Уязвимость затрагивает приложения UEFI, предназначенные для восстановления системы, обслуживания дисков или резервного копирования и не являющиеся приложениями UEFI общего назначения.
В отчете ESET в качестве уязвимых указаны следующие продукты и версии:
- Howyar SysReturn до версии 10.2.023_20240919
- Greenware GreenGuard до версии 10.2.023-20240927
- Radix SmartRecovery до версии 11.2.023-20240927
- Sanfong EZ-back System до версии 10.3.024-20241127
- WASAY eRecoveryRX до версии 8.4.022-20241127
- CES NeoImpact до версии 10.1.024-20241127
- SignalComputer HDD King до версии 10.3.021-20241127
Следует отметить, что злоумышленники могут использовать CVE-2024-7344, даже если вышеперечисленные приложения отсутствуют на целевом компьютере. Хакеры могут осуществить атаку, развернув только уязвимый бинарник „reloader. efi“ из этих приложений.
Тем не менее, тем, кто использует вышеупомянутые приложения и затронутые ими версии, следует как можно скорее перейти на более новые релизы, чтобы исключить возможность атаки.
ESET опубликовала видеоролик, демонстрирующий, как уязвимость может быть использована на системе с включенной функцией Secure Boot
Исправления и меры по снижению риска
Microsoft выпустила исправление для CVE-2024-7344
Компания ESET обнаружила уязвимость 8 июля 2024 года и сообщила о ней в Координационный центр CERT (CERT/CC) для скоординированного раскрытия информации заинтересованным сторонам.
Затронутые производители исправили проблему в своих продуктах, а Microsoft отозвала сертификаты в обновлении Patch Tuesday от 14 января.
В последующие месяцы компания ESET работала с затронутыми поставщиками над оценкой предложенных исправлений и устранением проблемы безопасности.
В конце концов, 14 января 2025 года Microsoft отозвала сертификаты уязвимых приложений UEFI, что должно блокировать любые попытки выполнения их двоичных файлов.
Эта мера автоматически применяется к пользователям, установившим последнее обновление Windows. ESET также поделилась командами PowerShell, которые администраторы критически важных систем могут использовать для ручной проверки успешности применения отзыва.
Комментарии (0)