Новая уязвимость UEFI Secure Boot подвергает риску заражения bootkit

Новая уязвимость обхода UEFI Secure Boot, отслеживаемая как CVE-2024-7344 и затрагивающая приложения, подписанные Microsoft, может быть использована для установки буткитов, даже если защита Secure Boot активна.

Уязвимое приложение UEFI присутствует в нескольких инструментах восстановления системы в реальном времени от сторонних разработчиков.

Буткиты представляют собой критически важную угрозу безопасности, которую сложно обнаружить, поскольку они начинают действовать до загрузки операционной системы и выживают после ее переустановки.

Основная проблема

Проблема связана с использованием в приложении пользовательского PE-загрузчика, который позволяет загружать любые двоичные файлы UEFI, даже если они не подписаны.

В частности, уязвимое приложение UEFI не полагается на доверенные службы, такие как „LoadImage“ и „StartImage“, которые проверяют двоичные файлы по базе данных доверия (db) и базе данных отзыва (dbx).

В этом контексте „reloader.efi“ вручную расшифровывает и загружает в память двоичные файлы из „cloak.dat“, который содержит элементарный зашифрованный XOR PE-образ.

Этот небезопасный процесс может быть использован злоумышленником путем замены стандартного загрузчика ОС на EFI-разделе на уязвимый „reloader.efi“ и подстановки вредоносного файла „cloak.dat“ по его номинальным путям.

При загрузке системы пользовательский загрузчик расшифрует и выполнит вредоносный двоичный файл без проверки Secure Boot.

Область воздействия

Уязвимость затрагивает приложения UEFI, предназначенные для восстановления системы, обслуживания дисков или резервного копирования и не являющиеся приложениями UEFI общего назначения.

В отчете ESET в качестве уязвимых указаны следующие продукты и версии:

  • Howyar SysReturn до версии 10.2.023_20240919
  • Greenware GreenGuard до версии 10.2.023-20240927
  • Radix SmartRecovery до версии 11.2.023-20240927
  • Sanfong EZ-back System до версии 10.3.024-20241127
  • WASAY eRecoveryRX до версии 8.4.022-20241127
  • CES NeoImpact до версии 10.1.024-20241127
  • SignalComputer HDD King до версии 10.3.021-20241127

Следует отметить, что злоумышленники могут использовать CVE-2024-7344, даже если вышеперечисленные приложения отсутствуют на целевом компьютере. Хакеры могут осуществить атаку, развернув только уязвимый бинарник „reloader. efi“ из этих приложений.

Тем не менее, тем, кто использует вышеупомянутые приложения и затронутые ими версии, следует как можно скорее перейти на более новые релизы, чтобы исключить возможность атаки.

ESET опубликовала видеоролик, демонстрирующий, как уязвимость может быть использована на системе с включенной функцией Secure Boot

Исправления и меры по снижению риска

Microsoft выпустила исправление для CVE-2024-7344

Компания ESET обнаружила уязвимость 8 июля 2024 года и сообщила о ней в Координационный центр CERT (CERT/CC) для скоординированного раскрытия информации заинтересованным сторонам.

Затронутые производители исправили проблему в своих продуктах, а Microsoft отозвала сертификаты в обновлении Patch Tuesday от 14 января.

В последующие месяцы компания ESET работала с затронутыми поставщиками над оценкой предложенных исправлений и устранением проблемы безопасности.

В конце концов, 14 января 2025 года Microsoft отозвала сертификаты уязвимых приложений UEFI, что должно блокировать любые попытки выполнения их двоичных файлов.

Эта мера автоматически применяется к пользователям, установившим последнее обновление Windows. ESET также поделилась командами PowerShell, которые администраторы критически важных систем могут использовать для ручной проверки успешности применения отзыва.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)