新的UEFI漏洞被發現:繞過安全啓動機制,部署對操作系統隱形的引導工具包
近日,一個新的UEFI漏洞被發現,可通過多個系統恢復工具傳播,微軟已經正式將該漏洞標記爲追蹤編號“CVE-2024-7344”。根據報告的說明,該漏洞能讓攻擊者繞過安全啓動機制,並部署對操作系統隱形的引導工具包。
據TomsHardware報道,罪魁禍首來自客戶PE加載程序,允許加載任何UEFI二進制文件,甚至是未簽名的二進制文件。這是由於該漏洞不依賴於可信服務,如LoadImage和StartImage等所造成的。
攻擊者可以通過使用包含基本加密XOR PE映像的易受攻擊版本,替換EFI分區上應用程序的默認操作系統引導加載程序來利用此功能。一旦安裝,受感染的系統將使用XOR PE映像中的惡意數據進行啓動。由於該漏洞完全繞過了安全啓動機制並在UEFI級別中運行,軟件級別的殺毒軟件和安全措施對此類攻擊束手無策。即便重新安裝操作系統,也無法徹底清除潛在威脅。
ESET安全研究人員發現受影響軟件產品包括:
Howyar SysReturn(10.2.023_20240919之前版本)
Greenware GreenGuard(10.2.023-20240927之前版本)
Radix SmartRecovery(11.2.023-20240927之前版本)
Sanfong EZ-back System(10.3.024-20241127之前版本)
WASAY eRecoveryRX(8.4.022-20241127之前版本)
CES NeoImpact(10.1.024-20241127之前版本)
SignalComputer HDD King(10.3.021-20241127之前版本)
微軟和ESET安全部門已經採取措施保護公衆免受此漏洞的侵害,並聯繫了受影響的供應商,以消除安全問題。