Свежий баг в UEFI Secure Boot делает системы уязвимыми для буткитов - «Новости»

  • 10:30, 18-янв-2025
  • Вёрстка / Новости / Преимущества стилей / Изображения / Текст / Добавления стилей
  • Archibald
  • 0

Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы.


Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает.


В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot.


Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты:



  • Howyar SysReturn (до версии 10.2.023_20240919);

  • Greenware GreenGuard (до версии 10.2.023-20240927);

  • Radix SmartRecovery (до версии 11.2.023-20240927);

  • Sanfong EZ-back System (до версии 10.3.024-20241127);

  • WASAY eRecoveryRX (до версии 8.4.022-20241127);

  • CES NeoImpact (до версии 10.1.024-20241127);

  • SignalComputer HDD King (до версии 10.3.021-20241127).


При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi.


Пользователям этих программ рекомендуется обновиться до последних версий как можно скорее.


«Теперь встает вопрос, насколько такие небезопасные методы распространены среди сторонних производителей UEFI-софта, и сколько еще таких странных, но подписанных загрузчиков может существовать», — пишут специалисты ESET.


Компания опубликовала видео, демонстрирующее, как можно эксплуатировать уязвимость даже в системе с включенным Secure Boot.



https://xakep.ru/wp-content/uploads/2025/01/500568/cloak-poc.mp4

Проблема была обнаружена еще 8 июля 2024 года, после чего ESET передала информацию в Координационный центр CERT (CERT/CC). В настоящее время производители ПО уже выпустили исправления, а Microsoft отозвала скомпрометированные сертификаты и исправила CVE-2024-7344 в рамках январского «вторника обновлений».


Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы. Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает. В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot. Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты: Howyar SysReturn (до версии 10.2.023_20240919); Greenware GreenGuard (до версии 10.2.023-20240927); Radix SmartRecovery (до версии 11.2.023-20240927); Sanfong EZ-back System (до версии 10.3.024-20241127); WASAY eRecoveryRX (до версии 8.4.022-20241127); CES NeoImpact (до версии 10.1.024-20241127); SignalComputer HDD King (до версии 10.3.021-20241127). При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi. Пользователям этих программ рекомендуется обновиться до последних версий как можно скорее. «Теперь встает вопрос, насколько такие небезопасные методы распространены среди сторонних производителей UEFI-софта, и сколько еще таких странных, но подписанных загрузчиков может существовать», — пишут специалисты ESET. Компания опубликовала видео, демонстрирующее, как можно эксплуатировать уязвимость даже в системе с включенным Secure Boot. https://xakep.ru/wp-content/uploads/2025/01/500568/cloak-poc.mp4 Проблема была обнаружена еще 8 июля 2024 года, после чего ESET передала информацию в Координационный центр CERT (CERT/CC). В настоящее время производители ПО уже выпустили исправления, а Microsoft отозвала скомпрометированные сертификаты и исправила CVE-2024-7344 в рамках январского «вторника обновлений».

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!