Категория > Новости > Свежий баг в UEFI Secure Boot делает системы уязвимыми для буткитов - «Новости»

Свежий баг в UEFI Secure Boot делает системы уязвимыми для буткитов - «Новости»


20-01-2025, 00:00. Автор: Глеб

Уязвимость обхода UEFI Secure Boot (CVE-2024-7344), связанная с подписанным Microsoft приложением, может использоваться для установки буткитов, несмотря на включенную защиту Secure Boot. Уязвимое UEFI-приложение применяется в нескольких сторонних инструментах для восстановления системы.


Проблема связана с тем, что приложение использует кастомный PE-загрузчик, позволяющий загружать любые UEFI-бинарники, даже если те не подписаны. Обычно UEFI-приложения полагаются на LoadImage и StartImage, которые проверяют бинарники через trust database (db) и revocation database (dbx). Однако уязвимое приложение этого не делает.


В этом контексте reloader.efi «вручную» расшифровывает и загружает в память бинарники из cloak.dat, где содержится зашифрованный XOR PE-образ. В результате злоумышленник может подменить стандартный загрузчик ОС в EFI-разделе на уязвимый reloader.efi и подложить вредоносный cloak.dat. При загрузке системы такой кастомный загрузчик расшифрует и выполнит вредоносный бинарник без проверки Secure Boot.


Сообщается, что эта уязвимость затрагивает UEFI-приложения, используемые для восстановления системы, обслуживания дисков и резервного копирования. Как пишут аналитики компании ESET, уязвимы следующие продукты:



  • Howyar SysReturn (до версии 10.2.023_20240919);

  • Greenware GreenGuard (до версии 10.2.023-20240927);

  • Radix SmartRecovery (до версии 11.2.023-20240927);

  • Sanfong EZ-back System (до версии 10.3.024-20241127);

  • WASAY eRecoveryRX (до версии 8.4.022-20241127);

  • CES NeoImpact (до версии 10.1.024-20241127);

  • SignalComputer HDD King (до версии 10.3.021-20241127).


При этом подчеркивается, что даже если эти программы не установлены на целевой машине, злоумышленники все равно могут эксплуатировать CVE-2024-7344, отдельно развернув уязвимый reloader.efi.


Пользователям этих программ рекомендуется обновиться до последних версий как можно скорее.


«Теперь встает вопрос, насколько такие небезопасные методы распространены среди сторонних производителей UEFI-софта, и сколько еще таких странных, но подписанных загрузчиков может существовать», — пишут специалисты ESET.


Компания опубликовала видео, демонстрирующее, как можно эксплуатировать уязвимость даже в системе с включенным Secure Boot.



https://xakep.ru/wp-content/uploads/2025/01/500568/cloak-poc.mp4

Проблема была обнаружена еще 8 июля 2024 года, после чего ESET передала информацию в Координационный центр CERT (CERT/CC). В настоящее время производители ПО уже выпустили исправления, а Microsoft отозвала скомпрометированные сертификаты и исправила CVE-2024-7344 в рамках январского «вторника обновлений».

Перейти обратно к новости