Новая уязвимость UEFI обходит безопасную загрузку, подвергая ПК риску заражения буткитами
Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия
Читайте также:Microsoft опровергает сообщения о закрытии подразделения Xbox в 2021 годуЭКСКЛЮЗИВ: Отчет Microsoft и Activision о финансовых показателях не содержит контекстаЭКСКЛЮЗИВ: Microsoft и Activision опровергли отчет о финансовых показателяхКонец поддержки Windows 10 для пользователей Microsoft 365Microsoft проводит новые увольнения в нескольких отделах
Виновником якобы является загрузчик PE клиента, который позволяет загружать любые двоичные файлы UEFI, даже неподписанные. Это связано с тем, что уязвимость якобы не полагается на доверенные службы, такие как LoadImage и StartImage.
Злоумышленники могут использовать эту функциональность, заменив загрузчик ОС по умолчанию приложения в разделе EFI уязвимой версией, содержащей элементарный зашифрованный образ XOR PE. После установки зараженная система загрузится с вредоносными данными из образа XOR PE.
Поскольку этот эксплойт полностью обходит Secure Boot и работает на уровне UEFI, антивирусы и меры безопасности на программном уровне оказываются бесполезными в борьбе с этой атакой. Переустановки операционной системы также не могут удалить эту атаку как потенциальную контрмеру.
Несколько инструментов восстановления системы якобы используют новую уязвимость от многих сторонних разработчиков программного обеспечения. В частности, приложения UEFI предназначены для помощи в восстановлении, обслуживании дисков или резервном копировании. Некоторые из затронутых инструментов включают Howyar SysReturn, Greenware GreenGuarde и Radix SmartRecovery.
Исследователи безопасности ESET обнаружили уязвимые программные продукты:
- Howyar SysReturn до версии 10.2.023_20240919
- Greenware GreenGuard до версии 10.2.023-20240927
- Radix SmartRecovery до версии 11.2.023-20240927
- Система Sanfong EZ-back до версии 10.3.024-20241127
- WASAY eRecoveryRX до версии 8.4.022-20241127
- CES NeoImpact до версии 10.1.024-20241127
- SignalComputer HDD King до версии 10.3.021-20241127
Хорошей новостью является то, что Microsoft и ESET security уже приняли меры по защите общественности от этой уязвимости. ESET якобы связалась с затронутыми поставщиками для устранения проблемы безопасности. Microsoft отозвала сертификаты затронутого уважаемого программного обеспечения в последнем обновлении Windows, которое вышло на этой неделе во вторник патча.
Предположим, вы запускаете любое из программных приложений, указанных выше. В этом случае стоит убедиться, что у вас установлено последнее обновление Windows, и обновить вышеупомянутое программное обеспечение до версий, которые будут противостоять этой уязвимости UEFI, стоит убедиться, что у вас установлено последнее обновление Windows.
Источник: Tomshardware.com
0 комментариев