Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы. Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает. В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot. Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты: Howyar SysReturn (до версии 10.2.023_20240919); Greenware GreenGuard (до версии 10.2.023-20240927); Radix SmartRecovery (до версии 11.2.023-20240927); Sanfong EZ-back System (до версии 10.3.024-20241127); WASAY eRecoveryRX (до версии 8.4.022-20241127); CES NeoImpact (до версии 10.1.024-20241127); SignalComputer HDD King (до версии 10.3.021-20241127). При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi. Пользователям этих программ рекомендуется обновиться до последних версий как можно скорее. «Теперь встает вопрос, насколько такие небезопасные методы распространены среди сторонних производителей UEFI-софта, и сколько еще таких странных, но подписанных загрузчиков может существовать», — пишут специалисты ESET. Компания опубликовала видео, демонстрирующее, как можно эксплуатировать уязвимость даже в системе с включенным Secure Boot. Проблема была обнаружена еще 8 июля 2024 года, после чего ESET передала информацию в Координационный центр CERT (CERT/CC). В настоящее время производители ПО уже выпустили исправления, а Microsoft отозвала скомпрометированные сертификаты и исправила CVE-2024-7344 в рамках январского «вторника обновлений».