微软修复了一个存在半年多的Windows 11重大安全漏洞(CVE-2024-7344)，该漏洞允许恶意代码绕过系统安全防御，植入恶意软件。漏洞源于第三方固件实用程序在处理UEFI启动过程时的缺陷，攻击者可利用合法实用程序加载恶意代码。ESET研究员发现多家供应商不安全地使用签名固件组件“reloader.efi”，绕过微软安全检查。微软已撤销受影响固件的数字证书，并发布更新修复此漏洞。尽管没有证据表明漏洞被实际利用，但其存在时间之长令人担忧。用户应立即安装最新的补丁。

⚠️ 漏洞根源：第三方固件实用程序在处理安全UEFI启动过程时存在缺陷，允许恶意代码绕过Windows 11的安全防御，植入恶意软件。

🛡️ 攻击方式：攻击者利用合法系统实用程序中名为“reloader.efi”的签名固件组件，绕过微软的安全检查，加载未签名的二进制文件。

🛠️ 修复措施：微软已撤销受影响固件版本的数字证书，并发布更新(1月14日补丁星期二发布的补丁)来修复CVE-2024-7344漏洞，强烈建议用户立即安装。

🏢 受影响厂商：Howyar Technologies、Greenware、Radix、Sanfong、WASAY、CES 和 SignalComputer等七家供应商的固件实用程序存在此安全隐患，这些厂商也已发布更新。

⏳ 漏洞时间：该漏洞在 ESET 于 2024 年 7 月首次向微软通报后，持续存在了七个多月，尽管没有证据表明被实际利用，但其存在时间之长令人担忧。

微软已解决了一个重大的安全漏洞，该漏洞在半年多的时间里使 Windows 11 在系统最关键的级别上受到恶意软件攻击。 令人担忧的是，微软在明知其存在的情况下，在如此长的时间内仍未修补这一漏洞，这或许并不令人意外，当然我们强烈建议用户立即应用更新。

该漏洞（CVE-2024-7344）允许恶意攻击者将恶意代码偷偷植入设备，从而绕过 Windows 11 的许多内置安全防御。 该漏洞利用了某些第三方固件实用程序在处理安全 UEFI 启动过程时存在的一个缺陷，从而提升了攻击者的系统权限，并使其恶意有效载荷隐藏在众目睽睽之下。 这类基于固件的攻击是最难发现的。

这个问题源于一些合法的系统实用程序如何使用微软批准的数字证书。 微软对必须在安全启动阶段运行的第三方固件应用程序有严格的人工审核流程。 然而，安全公司 ESET 的一名研究人员发现，至少有七家不同的供应商一直在以不安全的方式使用名为"reloader.efi"的签名固件组件。

通过使用自定义可执行加载器，这些实用程序可以无意中绕过微软的安全检查，运行任何固件代码，包括安全启动保护本应阻止的未签名二进制文件。 这就为老练的攻击者打开了方便之门，他们可以在合法的实用程序上搭载恶意软件。

在不知情的情况下利用其系统实用程序暴露了这一风险的供应商包括 Howyar Technologies、Greenware、Radix、Sanfong、WASAY、CES 和 SignalComputer。 它们都已发布更新来解决这个问题。 微软还撤销了受影响固件版本的数字证书，这应该可以防止黑客利用这个安全漏洞。

不过，更重要的是，在 ESET 于 2024 年 7 月首次向雷德蒙德通报该问题后，该漏洞如何持续存在了七个多月。 没有证据表明黑客在实际攻击中主动利用了这个漏洞。 然而，如此明显的漏洞存在如此长的时间，令人不安。

微软已推送了一个更新来解决 CVE-2024-7344，因此 Windows 11 用户应确保他们已安装了所有最新的补丁，特别是 1 月 14 日补丁星期二发布的补丁。