O nouă vulnerabilitate de evitare a UEFI Secure Boot, urmărită ca CVE-2024-7344, care afectează o aplicație semnată de Microsoft, ar putea fi exploatată pentru a implementa bootkit-uri chiar dacă protecția Secure Boot este activă.
Aplicația UEFI vulnerabilă este prezentă în mai multe unelte de recuperare a sistemului în timp real de la mai mulți dezvoltatori de software terți.
Bootkit-urile reprezintă o amenințare critică la adresa securității, greu de detectat deoarece acționează înainte ca sistemul de operare să se încarce și supraviețuiesc reinstalărilor OS-ului.
Problema provine din aplicația care utilizează un încărcător PE personalizat, care permite încărcarea oricărui binar UEFI, chiar dacă nu sunt semnate.
Mai exact, aplicația UEFI vulnerabilă nu se bazează pe servicii de încredere precum ‘LoadImage’ și ‘StartImage’ care validează binarele împotriva unei baze de date de încredere (db) și a unei baze de date de revocare (dbx).
În acest context, ‘reloader.efi’ decriptează manual și încarcă în memorie binare din ‘cloak.dat’, care conține o imagine PE XOR criptată rudimentar.
Acest proces nesigur ar putea fi exploatat de un atacator înlocuind bootloaderul OS implicit al aplicației pe partiția EFI cu un ‘reloader.efi’ vulnerabil și plasând un fișier ‘cloak.dat’ rău intenționat pe căile sale nominale.
La pornirea sistemului, încărcătorul personalizat va decripta și executa binarul rău intenționat fără validare Secure Boot.
Vulnerabilitatea afectează aplicațiile UEFI concepute pentru a ajuta la recuperarea sistemului, întreținerea discului sau backup-urile și nu sunt aplicații UEFI de uz general.
Raportul ESET listează următoarele produse și versiuni ca fiind vulnerabile:
Este de remarcat că atacatorii ar putea exploata CVE-2024-7344 chiar dacă aplicațiile de mai sus nu sunt prezente pe computerul țintă. Hackerii ar putea efectua atacul implementând doar binarul ‘reloader.efi’ vulnerabil din acele aplicații.
Cu toate acestea, cei care folosesc aplicațiile de mai sus și versiunile afectate ar trebui să treacă la versiunile mai noi cât mai curând posibil pentru a elimina suprafața de atac.
ESET a publicat un video pentru a demonstra modul în care vulnerabilitatea ar putea fi exploatată pe un sistem cu Secure Boot activat.
Microsoft a lansat un patch pentru CVE-2024-7344.
ESET a descoperit vulnerabilitatea pe 8 iulie 2024 și a raportat-o la Centrul de Coordonare CERT (CERT/CC) pentru divulgarea coordonată către părțile afectate.
Producătorii afectați au remediat problema în produsele lor, iar Microsoft a retras certificatele la actualizarea de marți, 14 ianuarie.
În lunile următoare, ESET a colaborat cu producătorii afectați pentru a evalua patch-urile propuse și pentru a elimina problema de securitate.
În cele din urmă, la 14 ianuarie 2025, Microsoft a retras certificatele aplicațiilor UEFI vulnerabile, ceea ce ar trebui să blocheze orice încercare de a executa binarele lor.
Această măsură de atenuare este aplicată automat utilizatorilor care au instalat cea mai recentă actualizare Windows. ESET a oferit și comenzi PowerShell pe care administratorii sistemelor critice le pot folosi pentru a verifica manual dacă revocările au fost aplicate cu succes.
Marți, 14 ianuarie 2025, actualizarea lunară a Microsoft a remediat 8 zero-day-uri și 159 de probleme.
Marți, decembrie 2024, actualizarea lunară a Microsoft a remediat 1 zero-day exploatat și 71 de probleme.
Microsoft: o problemă macOS permite hackerilor să instaleze drivere de kernel rău intenționate.
Microsoft ar putea renunța la funcția de imagini de fundal dinamice a Windows 11.
Cinci caracteristici mai puțin cunoscute ale Managerului de Sarcini în Windows 11.
Leave a Reply