新的 UEFI 安全启动严重漏洞，请立即修补

2025年2月5日01:20:17评论29 views字数 1354阅读4分30秒阅读模式

一个新的 UEFI 安全启动绕过漏洞 ( CVE-2024-7344) 影响 Microsoft 签名的应用程序，即使安全启动保护处于活动状态，该漏洞也可能被利用来部署启动工具包。

存在漏洞的 UEFI 应用程序存在于多家第三方软件开发商的多种实时系统恢复工具中。

Bootkit 代表着一种严重的安全威胁，由于它们在操作系统加载之前采取行动，并且在操作系统重新安装后仍然存在，因此很难被发现。

潜在问题

该问题源于应用程序使用自定义 PE 加载器，它允许加载任何 UEFI 二进制文件，即使它们未经签名。

具体来说，存在漏洞的 UEFI 应用程序不依赖于“LoadImage”和“StartImage”等可信服务，这些服务会根据信任数据库 (db) 和撤销数据库 (dbx) 来验证二进制文件。

在这种情况下，“reloader.efi”会手动解密“cloak.dat”中的二进制文件并将其加载到内存中，其中包含基本的加密 XOR PE 图像。

攻击者可以利用这个不安全的过程，用存在漏洞的“reloader.efi”替换 EFI 分区上应用程序的默认操作系统引导加载程序，并在其标称路径上植入恶意的“cloak.dat”文件。

在系统启动时，自定义加载程序将在没有安全启动验证的情况下解密并执行恶意二进制文件。

新的 UEFI 安全启动严重漏洞，请立即修补

影响范围

该漏洞影响旨在协助系统恢复、磁盘维护或备份的 UEFI 应用程序，而不是通用的 UEFI 应用程序。

ESET 的报告列出了以下存在漏洞的产品和版本：

需要注意的是，即使目标计算机上没有上述应用程序，攻击者也可能利用 CVE-2024-7344。黑客只需部署这些应用程序中易受攻击的“reloader.efi”二进制文件即可执行攻击。

然而，使用上述应用程序和受影响版本的用户应尽快迁移到较新的版本，以消除攻击面。

修复和缓解措施

Microsoft 已发布针对 CVE-2024-7344 的补丁

ESET 于 2024 年 7 月 8 日发现该漏洞，并报告给 CERT 协调中心（CERT/CC），以便向受影响方协调披露。

受影响的供应商已在其产品中修复了该问题，微软已于 1 月 14 日补丁星期二更新中撤销了证书

在接下来的几个月里，ESET 与受影响的供应商合作评估提议的补丁并消除安全问题。

最终，在 2025 年 1 月 14 日，微软撤销了存在漏洞的 UEFI 应用程序的证书，这将阻止任何执行其二进制文件的尝试。

此缓解措施会自动应用于安装了最新 Windows 更新的用户。ESET 还分享了 PowerShell 命令，关键系统的管理员可以使用这些命令手动检查撤销是否已成功应用。

信息来源：BleepingComputer

原文始发于微信公众号（犀牛安全）：新的 UEFI 安全启动严重漏洞，请立即修补

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。