ESET istraživači su identifikovali ranjivost (CVE-2024-7344) koja utiče na većinu sistema zasnovanih na UEFI, što omogućava napadačima da zaobiđu UEFI Secure Boot.
Problem je pronađen u UEFI aplikaciji potpisanoj Microsoftovim certifikatom treće strane “Microsoft Corporation UEFI CA 2011”. Iskorišćavanje ove ranjivosti omogućava izvršavanje nepouzdanog koda tokom pokretanja sistema, omogućavajući napadačima da implementiraju maliciozni UEFI bootkite, kao što su Bootkitty ili BlackLotus , čak i na sistemima sa omogućenim UEFI Secure Boot, bez obzira na operativni sistem.
Pogođeni dobavljači
Pogođena UEFI aplikacija je dio nekoliko softverskih paketa za oporavak sistema u realnom vremenu koje su razvili Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System i Signal Computer.
Lista ranjivih softverskih proizvoda:
- Howyar SysReturn prije verzije 10.2.023_20240919
- Greenware GreenGuard prije verzije 10.2.023-20240927
- Radix SmartRecovery prije verzije 11.2.023-20240927
- Sanfong EZ-back System prije verzije 10.3.024-20241127
- WASAY eRecoveryRX prije verzije 8.4.022-20241127
- CES NeoImpact prije verzije 10.1.024-20241127
- SignalComputer HDD King prije verzije 10.3.021-20241127
“Broj UEFI ranjivosti otkrivenih posljednjih godina i neuspjesi u njihovom zakrpanju ili opozivanju ranjivih binarnih datoteka u razumnom vremenskom roku pokazuje da čak i tako bitnu funkciju kao što je UEFI Secure Boot ne treba smatrati neprobojnom barijerom,” kaže istraživač ESET-a Martin Smolár , koji je otkrio ranjivost. “Međutim, ono što nas najviše brine u pogledu ranjivosti nije vrijeme potrebno za popravku i opoziv binarne datoteke, što je bilo prilično dobro u odnosu na slične slučajeve, već činjenica da ovo nije prvi put da se takva očigledno otkrivena je nesigurna potpisana UEFI binarna datoteka. Ovo postavlja pitanja koliko je uobičajena upotreba takvih nesigurnih tehnika među dobavljačima UEFI softvera trećih strana i koliko drugih sličnih opskurnih, ali potpisanih pokretača može postojati.”
Eksploatacija
Iskorišćavanje ove ranjivosti nije ograničeno na sisteme sa instaliranim softverom za oporavak pogođenog problema; Napadači mogu da unesu sopstvenu kopiju ranjivog binarnog fajla na bilo koji UEFI sistem sa upisanim Microsoftovim UEFI sertifikatom treće strane. Međutim, postavljanje ranjivih i malicioznih datoteka na EFI sistemsku particiju zahtijeva povišene privilegije (lokalni administrator na Windows-u ili root na Linux-u).
Ranjivost je uzrokovana upotrebom prilagođenog PE loadera umjesto korištenja standardnih i sigurnih UEFI funkcija LoadImage i StartImage. To utiče na sve UEFI sisteme sa omogućenim Microsoftovim UEFI potpisivanjem treće strane (Windows 11 računari sa zaštićenim jezgrom treba da imaju ovu opciju onemogućenu podrazumevano).
Ublažavanje
ESET je prijavio ranjivost CERT/CC-u u junu 2024., koji je kontaktirao pogođene dobavljače. Problem je od tada riješen u pogođenim proizvodima, a Microsoft je opozvao stare, ranjive binarne datoteke u zakrpi za januar 2025. u utorak .
Ranjivost se može ublažiti primjenom najnovijih opoziva UEFI-ja od strane Microsofta. Windows sistemi bi se trebali automatski ažurirati. Microsoftove informacije o ranjivosti CVE-2024-7344. Za Linux sisteme, ažuriranja bi trebala biti dostupna putem usluge firmvera dobavljača Linuxa.
Izvor:Help Net Security