Дослідники з компанії ESET виявили серйозну вразливість (CVE-2024-7344) у системі безпечного завантаження UEFI Secure Boot, яка дозволяє зловмисникам обходити механізми захисту та встановлювати шкідливі завантажувачі. Особлива небезпека полягає в тому, що атака можлива навіть при активованому режимі Secure Boot, який вважається одним з основних елементів захисту операційної системи.
Технічний аналіз вразливості
В основі проблеми лежить нестандартний PE-завантажувач, виявлений у підписаному Microsoft UEFI-додатку reloader.efi. На відміну від стандартних процедур LoadImage та StartImage, які перевіряють цифрові підписи через бази даних довіри (db) та відкликання (dbx), компромісний компонент повністю ігнорує ці критично важливі перевірки безпеки, відкриваючи шлях для виконання непідписаного коду.
Механізм проведення атаки
Процес експлуатації вразливості включає заміну легітимного завантажувача операційної системи в EFI-розділі на модифікований reloader.efi та додавання шкідливого файлу cloak.dat. При запуску системи такий скомпрометований завантажувач здатний розшифрувати та виконати довільний код, повністю нівелюючи захисні механізми Secure Boot.
Масштаб загрози та вразливі системи
Вразливість знайдена в популярному програмному забезпеченні для відновлення системи та обслуговування дисків. Критично важливо розуміти, що для проведення атаки не обов’язкова наявність вразливого ПЗ на цільовій системі – зловмисники можуть самостійно впровадити компонент reloader.efi при отриманні фізичного доступу до комп’ютера.
Рекомендації щодо захисту
Microsoft оперативно відреагувала на загрозу, випустивши у січні оновлення безпеки, яке відкликає скомпрометовані сертифікати та усуває вразливість CVE-2024-7344. Користувачам наполегливо рекомендується:
– Встановити останні оновлення Windows
– Оновити все системне програмне забезпечення
– Регулярно перевіряти наявність нових патчів безпеки
Цей інцидент демонструє критичну важливість постійного моніторингу та оновлення систем безпеки, а також необхідність більш ретельної перевірки стороннього програмного забезпечення, що отримує цифрові підписи Microsoft. Успішна демонстрація експлуатації вразливості експертами ESET на системі з активованим Secure Boot підкреслює необхідність комплексного підходу до забезпечення кібербезпеки сучасних комп’ютерних систем.
