Новая уязвимость UEFI обходит безопасную загрузку, подвергая ПК риску заражения буткитами

18 января 2025, 22:35 / Технологии → Новости / Технологии

Обнаружена новая уязвимость UEFI, которая распространяется через несколько инструментов восстановления системы. Bleeping Computer сообщает, что уязвимость позволяет злоумышленникам обходить безопасную загрузку и развертывать буткиты, которые могут быть невидимы для операционной системы. Microsoft

Microsoft Corporation (произносится «ма́йкрософт»; как правило, именуется просто Microsoft; распространено сокращение MS) — одна из крупнейших транснациональных компаний по производству проприетарного программного обеспечения для различного рода вычислительной техники — персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы — семейства операционных систем Windows. Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т. д.). C 2012 года производит собственный планшетный компьютер — Surface. Википедия

официально обозначила уязвимость под кодовым названием CVE-2024-7344 Howyar Taiwan Secure Boot Bypass.

Виновником якобы является загрузчик PE клиента, который позволяет загружать любые двоичные файлы UEFI, даже неподписанные. Это связано с тем, что уязвимость якобы не полагается на доверенные службы, такие как LoadImage и StartImage.

Злоумышленники могут использовать эту функциональность, заменив загрузчик ОС по умолчанию приложения в разделе EFI уязвимой версией, содержащей элементарный зашифрованный образ XOR PE. После установки зараженная система загрузится с вредоносными данными из образа XOR PE.

Поскольку этот эксплойт полностью обходит Secure Boot и работает на уровне UEFI, антивирусы и меры безопасности на программном уровне оказываются бесполезными в борьбе с этой атакой. Переустановки операционной системы также не могут удалить эту атаку как потенциальную контрмеру.

Несколько инструментов восстановления системы якобы используют новую уязвимость от многих сторонних разработчиков программного обеспечения. В частности, приложения UEFI предназначены для помощи в восстановлении, обслуживании дисков или резервном копировании. Некоторые из затронутых инструментов включают Howyar SysReturn, Greenware GreenGuarde и Radix SmartRecovery.

Исследователи безопасности ESET обнаружили уязвимые программные продукты:

Howyar SysReturn до версии 10.2.023_20240919
Greenware GreenGuard до версии 10.2.023-20240927
Radix SmartRecovery до версии 11.2.023-20240927
Система Sanfong EZ-back до версии 10.3.024-20241127
WASAY eRecoveryRX до версии 8.4.022-20241127
CES NeoImpact до версии 10.1.024-20241127
SignalComputer HDD King до версии 10.3.021-20241127

Хорошей новостью является то, что Microsoft и ESET security уже приняли меры по защите общественности от этой уязвимости. ESET якобы связалась с затронутыми поставщиками для устранения проблемы безопасности. Microsoft отозвала сертификаты затронутого уважаемого программного обеспечения в последнем обновлении Windows, которое вышло на этой неделе во вторник патча.

Предположим, вы запускаете любое из программных приложений, указанных выше. В этом случае стоит убедиться, что у вас установлено последнее обновление Windows, и обновить вышеупомянутое программное обеспечение до версий, которые будут противостоять этой уязвимости UEFI, стоит убедиться, что у вас установлено последнее обновление Windows.

Источник: Tomshardware.com