Ssylka

Как одна уязвимость ставит под угрозу безопасную загрузку и вашу защиту?

Уязвимость CVE-2024-7344 в подписанном Microsoft UEFI-приложении способна обойти Secure Boot и загрузить вредоносные буткиты, даже если эта защита включена. Это серьёзная проблема, которая позволяет злоумышленникам внедрить вредоносный код в самое сердце системы, нарушая базовые принципы компьютерной безопасности.
Как одна уязвимость ставит под угрозу безопасную загрузку и вашу защиту?
Изображение носит иллюстративный характер

Суть проблемы заключается в том, как пользовательский загрузчик PE обрабатывает UEFI-двоичные файлы. В результате этой уязвимости, неподписанный код может быть выполнен во время загрузки, обходя защиту Secure Boot, предназначенную для предотвращения запуска несанкционированного программного обеспечения. Злоумышленники могут использовать эту брешь для загрузки вредоносного кода до запуска операционной системы, гарантируя его устойчивость и живучесть. Вредоносный код может сохраняться на системе, переживая перезагрузки и переустановки операционной системы, а также избегая обнаружения средствами безопасности, работающими на уровне ОС и конечных точек.

Уязвимость, оцененная в 6.7 баллов по шкале CVSS, затрагивает ряд программных продуктов, включая: Howyar SysReturn (версии до 10.2.023_20240919), Greenware GreenGuard (версии до 10.2.023-20240927), Radix SmartRecovery (версии до 11.2.023-20240927), Sanfong EZ-back System (версии до 10.3.024-20241127), WASAY eRecoveryRX (версии до 8.4.022-20241127), CES NeoImpact (версии до 10.1.024-20241127) и SignalComputer HDD King (версии до 10.3.021-20241127). Уязвимое приложение использует файл "cloak.dat" и связано с UEFI-сертификатом Microsoft "Microsoft Corporation UEFI CA 2011". При этом, функции UEFI LoadImage и StartImage не применяются. Ключевой уязвимый двоичный файл носит имя "reloader.efi".

Для эксплуатации уязвимости злоумышленникам требуется наличие прав локального администратора в Windows или root-доступа в Linux, чтобы развернуть вредоносные файлы в EFI-системный раздел. Обнаружил уязвимость Мартин Смолар из ESET. Microsoft отозвала уязвимые двоичные файлы 14 января 2025 года.

Secure Boot — это механизм безопасности, который гарантирует, что при запуске используется только доверенное программное обеспечение OEM-производителя. Он полагается на цифровые подписи для проверки подлинности, источника и целостности загружаемого кода. Однако, как показывает CVE-2024-7344, этот механизм не всегда безупречен.

С целью снижения рисков, помимо установки патчей, рекомендуется предпринять дополнительные шаги: управление доступом к файлам в EFI-системном разделе, кастомизация Secure Boot и применение удалённой аттестации с использованием Trusted Platform Module (TPM).

Складывающаяся ситуация вызывает серьёзную обеспокоенность. Растущее количество обнаруженных уязвимостей UEFI, задержки с выпуском патчей и отзывом уязвимых двоичных файлов, использование небезопасных практик сторонними UEFI-разработчиками и наличие потенциала для существования других, еще не обнаруженных, но подписанных уязвимых загрузчиков представляют серьёзную угрозу. Организации, такие как Microsoft, ESET, Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. и Signal Computer GmbH, и The Hacker News, а также CERT Coordination Center (CERT/CC) и Trusted Platform Module (TPM) играют важную роль в решении этих проблем.


Новое на сайте

14799Каковы секреты новой львиной семьи в Whipsnade Zoo? 14798Риск в детском питании: отозвано более 25 000 упаковок пюре Good & Gather из-за... 14797Как паразит превращает муравья в зомби и отрывает ему голову? 14796Сон подростка: угрозы, признаки нехватки и эффективные решения 14794Как паразиты превращают насекомых в зомби? 14793Что стоит посмотреть и послушать на этой неделе: от агента фбр Джуда лоу до семейных драм... 14792Сможет ли Судан сохранить свою историю после разграбления национального музея? 14791Кто сыграет главные роли в новом сериале "Гарри Поттер" от HBO? 14790Как 9 100 книг объединили город: уникальный переезд книжного в челси? 14788Повреждённый мост в лидни: как стихия и авария изменили жизнь города 14787Скандал на показе фильма о Minecraft: подростки, TikTok и хаос в кинотеатрах 14786Память, ожившая на сцене: как Cat Hunter создает театр в честь сына 14785Смертельная рулетка: как нелегальные препараты для похудения угрожают жизни