Nová zranitelnost obcházející UEFI Secure Boot, sledovaná pod označením CVE-2024-7344, která ovlivňuje aplikaci podepsanou Microsoftem, by mohla být zneužita k nasazení bootkitů, i když je ochrana Secure Boot aktivní. Zranitelná UEFI aplikace je přítomna v několika nástrojích pro obnovu systému v reálném čase od různých vývojářů softwaru třetích stran.
Bootkity představují kritickou bezpečnostní hrozbu, kterou je obtížné detekovat, protože se aktivují ještě před načtením operačního systému a přežijí i přeinstalaci OS. Problém spočívá v tom, že aplikace používá vlastní PE loader, který umožňuje načítání jakéhokoliv UEFI binárního souboru, i když nejsou podepsané.
Konkrétně zranitelná UEFI aplikace se nespoléhá na důvěryhodné služby jako „LoadImage“ a „StartImage“, které ověřují binární soubory proti databázi důvěryhodnosti (db) a databázi odvolání (dbx). V tomto kontextu „reloader.efi“ ručně dešifruje a načítá do paměti binární soubory z „cloak.dat“, který obsahuje základní XOR šifrovaný PE obraz.
Tento nebezpečný proces by mohl být zneužit útočníkem nahrazením výchozího OS bootloaderu aplikace na EFI oddílu zranitelným „reloader.efi“ a umístěním škodlivého souboru „cloak.dat“ na jeho nominální cesty. Při spuštění systému vlastní loader dešifruje a spustí škodlivý binární soubor bez ověření Secure Boot.
Zranitelnost ovlivňuje UEFI aplikace navržené pro pomoc při obnově systému, údržbě disků nebo zálohování a nejedná se o obecné UEFI aplikace.
Zpráva společnosti ESET uvádí následující produkty a verze jako zranitelné:
– Howyar SysReturn před verzí 10.2.023_20240919
– Greenware GreenGuard před verzí 10.2.023-20240927
– Radix SmartRecovery před verzí 11.2.023-20240927
– Sanfong EZ-back System před verzí 10.3.024-20241127
– WASAY eRecoveryRX před verzí 8.4.022-20241127
– CES NeoImpact před verzí 10.1.024-20241127
– SignalComputer HDD King před verzí 10.3.021-20241127
Je třeba poznamenat, že útočníci by mohli zneužít CVE-2024-7344, i když výše uvedené aplikace nejsou na cílovém počítači přítomny. Útok by mohli provést nasazením pouze zranitelného binárního souboru „reloader.efi“ z těchto aplikací.
Nicméně uživatelé výše uvedených aplikací a zasažených verzí by měli co nejdříve přejít na novější verze, aby eliminovali povrch útoku.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
