Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы.

Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает.

В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot.

Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты:

  • Howyar SysReturn (до версии 10.2.023_20240919);
  • Greenware GreenGuard (до версии 10.2.023-20240927);
  • Radix SmartRecovery (до версии 11.2.023-20240927);
  • Sanfong EZ-back System (до версии 10.3.024-20241127);
  • WASAY eRecoveryRX (до версии 8.4.022-20241127);
  • CES NeoImpact (до версии 10.1.024-20241127);
  • SignalComputer HDD King (до версии 10.3.021-20241127).

При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi.

Пользователям этих программ рекомендуется обновиться до последних версий как можно скорее.

«Теперь встает вопрос, насколько такие небезопасные методы распространены среди сторонних производителей UEFI-софта, и сколько еще таких странных, но подписанных загрузчиков может существовать», — пишут специалисты ESET.

Компания опубликовала видео, демонстрирующее, как можно эксплуатировать уязвимость даже в системе с включенным Secure Boot.

Проблема была обнаружена еще 8 июля 2024 года, после чего ESET передала информацию в Координационный центр CERT (CERT/CC). В настоящее время производители ПО уже выпустили исправления, а Microsoft отозвала скомпрометированные сертификаты и исправила CVE-2024-7344 в рамках январского «вторника обновлений».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии