Исследователи компании ESET обнаружили критическую уязвимость в механизме безопасной загрузки UEFI Secure Boot (CVE-2024-7344), которая позволяет злоумышленникам устанавливать вредоносные загрузчики даже при активированной защите. Проблема связана с подписанным Microsoft UEFI-приложением, используемым в ряде популярных инструментов для восстановления системы.
Технические детали уязвимости
Уязвимость возникает из-за использования нестандартного PE-загрузчика, который позволяет запускать непроверенные UEFI-бинарные файлы. В отличие от стандартных механизмов LoadImage и StartImage, которые проверяют цифровые подписи через базы данных доверия (db) и отзыва (dbx), уязвимый компонент reloader.efi обходит эти проверки безопасности.
Механизм эксплуатации
Атакующие могут использовать уязвимость, заменив стандартный загрузчик операционной системы в EFI-разделе на скомпрометированный reloader.efi и добавив вредоносный файл cloak.dat. При загрузке системы такой модифицированный загрузчик расшифровывает и выполняет произвольный код, полностью игнорируя проверки Secure Boot.
Затронутые продукты и масштаб угрозы
Уязвимость обнаружена в программном обеспечении для восстановления системы, обслуживания дисков и резервного копирования. Важно отметить, что для эксплуатации CVE-2024-7344 наличие уязвимого ПО на целевой системе не обязательно – злоумышленники могут самостоятельно развернуть компонент reloader.efi.
Меры по устранению
Microsoft уже отреагировала на угрозу в рамках январского обновления безопасности, отозвав скомпрометированные сертификаты и выпустив патч для CVE-2024-7344. Производители затронутого ПО также выпустили обновления безопасности. Пользователям настоятельно рекомендуется установить последние версии программного обеспечения и системные обновления.
Данный инцидент поднимает серьезные вопросы о безопасности сторонних UEFI-приложений и необходимости более тщательного аудита подписанного Microsoft программного обеспечения. Эксперты ESET продемонстрировали успешную эксплуатацию уязвимости на системе с включенным Secure Boot, что подчеркивает критичность своевременного обновления систем безопасности.
