Компания ESET ― лидер в области информационной безопасности ― обнаружила уязвимость, которая влияет на большинство систем на основе UEFI и позволяет киберпреступникам обойти механизм защиты UEFI Secure Boot. Использование этой уязвимости может привести к выполнению опасного кода при загрузке системы, позволяя потенциальным злоумышленникам легко развертывать вредоносные компоненты (например, буткиты Bootkitty или BlackLotus). Это возможно даже в системах с включенным механизмом UEFI Secure Boot и не зависит от установленной операционной системы.
Уязвимость CVE-2024-7344 была обнаружена в компоненте UEFI, подписанном сторонним сертификатом UEFI «Microsoft Corporation UEFI CA 2011». Специалисты ESET сообщили о результатах в Координационный центр CERT (CERT/CC) в июне 2024 года, который успешно связался с соответствующими поставщиками. Сейчас проблема решена в продуктах, на которые это влияло, а старые уязвимые бинарные файлы были отозваны Microsoft в исправлении от 14 января 2025 года.
Компонент UEFI является частью нескольких пакетов программного обеспечения для восстановления системы в режиме реального времени, разработанных Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. и Signal Computer GmbH.
«Количество уязвимостей UEFI, обнаруженных за последние годы, и ошибки в их исправлении или обновлении уязвимых бинарных файлов в течение определенного периода времени показывает, что даже такая важная функция, как UEFI Secure Boot, не должна считаться непроницаемым барьером», — рассказывает Мартин Смолар, исследователь ESET. — Однако больше всего волнует тот факт, что это не первый случай обнаружения очевидно опасного бинарного файла UEFI с подписью. Поэтому возникает вопрос, насколько распространено использование таких опасных методов среди сторонних поставщиков программного обеспечения UEFI и сколько других подобных неизвестных, но подписанных загрузчиков может быть».
Использование этой уязвимости не ограничивается системами с установленным программным обеспечением для восстановления, поскольку злоумышленники могут перенести свою копию уязвимого бинарного файла в любую систему UEFI с зарегистрированным сертификатом UEFI стороннего производителя. Кроме того, для развертывания уязвимых и вредоносных файлов в системном разделе UEFI требуются повышенные привилегии (локальный администратор в Windows; root в Linux). Уязвимость связана с использованием специального загрузчика PE вместо использования стандартных и безопасных функций UEFI LoadImage и StartImage. Это влияет на все системы UEFI с включенной сторонней подписью Microsoft UEFI.
Риск использования этой уязвимости можно минимизировать, применяя последние обновления UEFI от Microsoft. Системы Windows должны автоматически обновляться. Советы Microsoft относительно уязвимости CVE-2024-7344 можно найти по ссылке. Для систем Linux обновления доступны через Linux Vendor Firmware Service.
Подробнее об уязвимости читайте в полном исследовании.