HackerNews 编译,转载请注明出处:
关于一个现已修复的安全漏洞的细节已经公布,该漏洞可能允许绕过统一可扩展固件接口(UEFI)系统中的安全启动机制。
据ESET向The Hacker News分享的一份新报告显示,该漏洞被分配了CVE标识符CVE-2024-7344(CVSS评分:6.7),存在于由微软的“Microsoft Corporation UEFI CA 2011”第三方UEFI证书签名的UEFI应用程序中。
成功利用该漏洞可导致在系统启动时执行不受信任的代码,从而使攻击者能够在启用安全启动的计算机上部署恶意UEFI启动套件,无论安装的是何种操作系统。
安全启动是一种固件安全标准,通过确保设备仅使用原始设备制造商(OEM)信任的软件启动,来防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。
受影响的UEFI应用程序是Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc.和Signal Computer GmbH等公司开发的多个实时系统恢复软件套件的一部分,具体受影响版本如下:
- Howyar SysReturn 10.2.023_20240919版本之前Greenware GreenGuard 10.2.023-20240927版本之前Radix SmartRecovery 11.2.023-20240927版本之前Sanfong EZ-back System 10.3.024-20241127版本之前WASAY eRecoveryRX 8.4.022-20241127版本之前CES NeoImpact 10.1.024-20241127版本之前SignalComputer HDD King 10.3.021-20241127版本之前
ESET研究员Martin Smolár表示:“该漏洞是由于使用了自定义PE加载器,而不是使用标准和安全的UEFI函数LoadImage和StartImage造成的。因此,该应用程序允许在系统启动时从名为cloak.dat的特别制作的文件中加载任何UEFI二进制文件——甚至是未签名的文件——而不考虑UEFI安全启动状态。”
因此,利用CVE-2024-7344的攻击者可以绕过UEFI安全启动保护,并在操作系统加载之前在UEFI环境中执行未签名代码,从而获得对主机的隐蔽且持久的访问权限。
CERT协调中心(CERT/CC)表示:“在此早期启动阶段执行的代码可以在系统上持久存在,可能会加载恶意内核扩展,这些扩展在重启和操作系统重新安装后仍然存在。此外,它还可能逃避基于操作系统和终端检测和响应(EDR)安全措施的检测。”
恶意行为者还可以通过将自己的易受攻击的“reloader.efi”二进制文件的副本带到已注册微软第三方UEFI证书的任何UEFI系统中,进一步扩大利用范围。但是,将易受攻击和恶意的文件部署到EFI系统分区需要提升权限:在Windows上是本地管理员权限,在Linux上是root权限。
这家斯洛伐克网络安全公司在2024年6月负责任地向CERT/CC披露了这一发现,之后Howyar Technologies及其合作伙伴在相关产品中解决了这一问题。2025年1月14日,微软作为其“补丁星期二”更新的一部分,撤销了旧的易受攻击的二进制文件。
除了应用UEFI撤销、管理对位于EFI系统分区上的文件的访问权限、安全启动定制以及与可信平台模块(TPM)进行远程证明之外,还有一些其他方法可以防止利用未知的易受攻击的已签名UEFI引导加载程序和部署UEFI启动套件。
Smolár表示:“近年来发现的UEFI漏洞数量以及在合理时间窗口内修复漏洞或撤销易受攻击的二进制文件的失败表明,即使是像UEFI安全启动这样重要的功能,也不应被视为不可逾越的障碍。”
“然而,我们对此漏洞最担忧的不是修复和撤销二进制文件所花费的时间,与类似情况相比,这个时间已经相当不错,而是这已经不是第一次发现如此明显不安全的已签名UEFI二进制文件。这引发了以下问题:第三方UEFI软件供应商中这种不安全技术的使用有多普遍,以及可能还有多少其他类似的不为人知但已签名的引导加载程序。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
