Злоумышленники могут использовать новую уязвимость UEFI для загрузки буткитов

 

Появились подробности об исправленной уязвимости безопасности, которая могла позволить обойти механизм безопасной загрузки в системах Unified Extensible Firmware Interface (UEFI).

Согласно новому отчету ESET, предоставленному The Hacker News, уязвимость, которой присвоен идентификатор CVE -2024-7344 (оценка CVSS: 6,7), находится в приложении UEFI, подписанном сторонним сертификатом UEFI «Microsoft Corporation UEFI CA 2011» от Microsoft .

Успешная эксплуатация уязвимости может привести к выполнению ненадежного кода во время загрузки системы, что позволит злоумышленникам развертывать вредоносные буткиты UEFI на компьютерах с включенной функцией Secure Boot, независимо от установленной операционной системы.

Secure Boot — это стандарт безопасности прошивки , который предотвращает загрузку вредоносного ПО при запуске компьютера, гарантируя, что устройство загружается только с помощью программного обеспечения, которому доверяет производитель оригинального оборудования (OEM). Функция использует цифровые подписи для проверки подлинности, источника и целостности загружаемого кода.

Уязвимое приложение UEFI является частью нескольких программных пакетов для восстановления системы в реальном времени, разработанных Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. и Signal Computer GmbH.

·         Howyar SysReturn до версии 10.2.023_20240919

·         Greenware GreenGuard до версии 10.2.023-20240927

·         Radix SmartRecovery до версии 11.2.023-20240927

·         Система Sanfong EZ-back до версии 10.3.024-20241127

·         WASAY eRecoveryRX до версии 8.4.022-20241127

·         CES NeoImpact до версии 10.1.024-20241127

·         SignalComputer HDD King до версии 10.3.021-20241127

«Уязвимость вызвана использованием пользовательского загрузчика PE вместо использования стандартных и безопасных функций UEFI LoadImage и StartImage », — сказал исследователь ESET Мартин Смолар. «В результате приложение позволяет загружать любой двоичный файл UEFI — даже неподписанный — из специально созданного файла с именем cloak.dat во время запуска системы, независимо от состояния безопасной загрузки UEFI».

Таким образом, злоумышленник, использующий уязвимость CVE-2024-7344, может обойти защиту UEFI Secure Boot и выполнить неподписанный код во время процесса загрузки в контексте UEFI, даже до загрузки операционной системы, что предоставит ему скрытый, постоянный доступ к хосту.

«Код, выполняемый на этой ранней стадии загрузки, может сохраняться в системе, потенциально загружая вредоносные расширения ядра, которые переживают как перезагрузки, так и переустановку ОС», — заявил Координационный центр CERT (CERT/CC) . «Кроме того, он может уклоняться от обнаружения мерами безопасности на основе ОС и обнаружения и реагирования конечных точек (EDR)».

Злоумышленники могут еще больше расширить сферу эксплуатации, внедрив собственную копию уязвимого двоичного файла "reloader.efi" в любую систему UEFI с зарегистрированным сертификатом UEFI третьей стороны Microsoft. Однако для развертывания уязвимых и вредоносных файлов в системном разделе EFI требуются повышенные привилегии: локальный администратор в Windows и root в Linux.

Словацкая фирма по кибербезопасности заявила, что она ответственно раскрыла результаты CERT/CC в июне 2024 года, после чего Howyar Technologies и их партнеры устранили проблему в соответствующих продуктах. 14 января 2025 года Microsoft отозвала старые уязвимые двоичные файлы в рамках своего обновления Patch Tuesday .

Помимо применения отзыва UEFI, управление доступом к файлам, расположенным в системном разделе EFI, настройка безопасной загрузки и удаленная аттестация с помощью доверенного платформенного модуля ( TPM ) — это некоторые из других способов защиты от эксплуатации неизвестных уязвимых подписанных загрузчиков UEFI и развертывания буткитов UEFI.

«Количество уязвимостей UEFI, обнаруженных за последние годы, и неудачи в их исправлении или отзыве уязвимых двоичных файлов в разумные сроки показывают, что даже такую ​​важную функцию, как UEFI Secure Boot, не следует считать непреодолимым барьером», — сказал Смоляр.

«Однако больше всего нас беспокоит в отношении уязвимости не время, которое потребовалось для исправления и отзыва двоичного файла, что было довольно хорошо по сравнению с аналогичными случаями, а тот факт, что это не первый случай обнаружения столь явно небезопасного подписанного двоичного файла UEFI. Это поднимает вопросы о том, насколько распространено использование таких небезопасных методов среди сторонних поставщиков программного обеспечения UEFI и сколько других подобных малоизвестных, но подписанных загрузчиков может существовать».