Уязвимость CVE-2024-7344 в подписанном Microsoft UEFI-приложении способна обойти Secure Boot и загрузить вредоносные буткиты, даже если эта защита включена. Это серьёзная проблема, которая позволяет злоумышленникам внедрить вредоносный код в самое сердце системы, нарушая базовые принципы компьютерной безопасности.
Суть проблемы заключается в том, как пользовательский загрузчик PE обрабатывает UEFI-двоичные файлы. В результате этой уязвимости, неподписанный код может быть выполнен во время загрузки, обходя защиту Secure Boot, предназначенную для предотвращения запуска несанкционированного программного обеспечения. Злоумышленники могут использовать эту брешь для загрузки вредоносного кода до запуска операционной системы, гарантируя его устойчивость и живучесть. Вредоносный код может сохраняться на системе, переживая перезагрузки и переустановки операционной системы, а также избегая обнаружения средствами безопасности, работающими на уровне ОС и конечных точек.
Уязвимость, оцененная в 6.7 баллов по шкале CVSS, затрагивает ряд программных продуктов, включая: Howyar SysReturn (версии до 10.2.023_20240919), Greenware GreenGuard (версии до 10.2.023-20240927), Radix SmartRecovery (версии до 11.2.023-20240927), Sanfong EZ-back System (версии до 10.3.024-20241127), WASAY eRecoveryRX (версии до 8.4.022-20241127), CES NeoImpact (версии до 10.1.024-20241127) и SignalComputer HDD King (версии до 10.3.021-20241127). Уязвимое приложение использует файл "cloak.dat" и связано с UEFI-сертификатом Microsoft "Microsoft Corporation UEFI CA 2011". При этом, функции UEFI LoadImage и StartImage не применяются. Ключевой уязвимый двоичный файл носит имя "reloader.efi".
Для эксплуатации уязвимости злоумышленникам требуется наличие прав локального администратора в Windows или root-доступа в Linux, чтобы развернуть вредоносные файлы в EFI-системный раздел. Обнаружил уязвимость Мартин Смолар из ESET. Microsoft отозвала уязвимые двоичные файлы 14 января 2025 года.
Secure Boot — это механизм безопасности, который гарантирует, что при запуске используется только доверенное программное обеспечение OEM-производителя. Он полагается на цифровые подписи для проверки подлинности, источника и целостности загружаемого кода. Однако, как показывает CVE-2024-7344, этот механизм не всегда безупречен.
С целью снижения рисков, помимо установки патчей, рекомендуется предпринять дополнительные шаги: управление доступом к файлам в EFI-системном разделе, кастомизация Secure Boot и применение удалённой аттестации с использованием Trusted Platform Module (TPM).
Складывающаяся ситуация вызывает серьёзную обеспокоенность. Растущее количество обнаруженных уязвимостей UEFI, задержки с выпуском патчей и отзывом уязвимых двоичных файлов, использование небезопасных практик сторонними UEFI-разработчиками и наличие потенциала для существования других, еще не обнаруженных, но подписанных уязвимых загрузчиков представляют серьёзную угрозу. Организации, такие как Microsoft, ESET, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. и Signal Computer GmbH, и The Hacker News, а также CERT Coordination Center (CERT/CC) и Trusted Platform Module (TPM) играют важную роль в решении этих проблем.
Изображение носит иллюстративный характер
Суть проблемы заключается в том, как пользовательский загрузчик PE обрабатывает UEFI-двоичные файлы. В результате этой уязвимости, неподписанный код может быть выполнен во время загрузки, обходя защиту Secure Boot, предназначенную для предотвращения запуска несанкционированного программного обеспечения. Злоумышленники могут использовать эту брешь для загрузки вредоносного кода до запуска операционной системы, гарантируя его устойчивость и живучесть. Вредоносный код может сохраняться на системе, переживая перезагрузки и переустановки операционной системы, а также избегая обнаружения средствами безопасности, работающими на уровне ОС и конечных точек.
Уязвимость, оцененная в 6.7 баллов по шкале CVSS, затрагивает ряд программных продуктов, включая: Howyar SysReturn (версии до 10.2.023_20240919), Greenware GreenGuard (версии до 10.2.023-20240927), Radix SmartRecovery (версии до 11.2.023-20240927), Sanfong EZ-back System (версии до 10.3.024-20241127), WASAY eRecoveryRX (версии до 8.4.022-20241127), CES NeoImpact (версии до 10.1.024-20241127) и SignalComputer HDD King (версии до 10.3.021-20241127). Уязвимое приложение использует файл "cloak.dat" и связано с UEFI-сертификатом Microsoft "Microsoft Corporation UEFI CA 2011". При этом, функции UEFI LoadImage и StartImage не применяются. Ключевой уязвимый двоичный файл носит имя "reloader.efi".
Для эксплуатации уязвимости злоумышленникам требуется наличие прав локального администратора в Windows или root-доступа в Linux, чтобы развернуть вредоносные файлы в EFI-системный раздел. Обнаружил уязвимость Мартин Смолар из ESET. Microsoft отозвала уязвимые двоичные файлы 14 января 2025 года.
Secure Boot — это механизм безопасности, который гарантирует, что при запуске используется только доверенное программное обеспечение OEM-производителя. Он полагается на цифровые подписи для проверки подлинности, источника и целостности загружаемого кода. Однако, как показывает CVE-2024-7344, этот механизм не всегда безупречен.
С целью снижения рисков, помимо установки патчей, рекомендуется предпринять дополнительные шаги: управление доступом к файлам в EFI-системном разделе, кастомизация Secure Boot и применение удалённой аттестации с использованием Trusted Platform Module (TPM).
Складывающаяся ситуация вызывает серьёзную обеспокоенность. Растущее количество обнаруженных уязвимостей UEFI, задержки с выпуском патчей и отзывом уязвимых двоичных файлов, использование небезопасных практик сторонними UEFI-разработчиками и наличие потенциала для существования других, еще не обнаруженных, но подписанных уязвимых загрузчиков представляют серьёзную угрозу. Организации, такие как Microsoft, ESET, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. и Signal Computer GmbH, и The Hacker News, а также CERT Coordination Center (CERT/CC) и Trusted Platform Module (TPM) играют важную роль в решении этих проблем.
