Echelon Eyes

Доверенные приложения вносят ошибку в процесс загрузки UEFI

Семь программ восстановления системы содержали бэкдор для внедрения любого ненадежного файла в процесс запуска системы, предупреждают исследователи ESET. Речь о продуктах Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery, Sanfong EZ-back System, WASAY eRecoveryRX, CES NeoImpact и SignalComputer HDD King. Все они используют вредоносный файл «reloader.efi», подписанный Microsoft файл Extensible Firmware Interface (EFI).

Файл reloader.efi использует пользовательский загрузчик, который позволяет приложению загружать даже неподписанные двоичные файлы во время процесса загрузки. По сути, это бэкдор для внедрения любого файла в процесс запуска системы, минуя UEFI Secure Boot. Уязвимости присвоен номер CVE-2024-7344, и она получила «среднюю» оценку по шкале CVSS – 6,5, потому что для ее эксплуатации требуются права администратора.

Стандартный способ загрузки, подготовки и выполнения образов UEFI в системной памяти – это автологические функции LoadImage и StartImage. Одобренное Microsoft приложение «Reloader» работает по-своему, используя специальный механизм, который позволяет ему загружать любой двоичный файл, доверенный или нет, при запуске.

По мнению исследователей ESET, такая схема могла быть выбрана либо по причине неполного понимания безопасного кодирования, либо ради удобства разработчиков.

В итоге reloader.efi загружает произвольные двоичные файлы из определенного зашифрованного файла «cloak.dat». Когда ESET расшифровала cloak.dat, то обнаружила, что он содержит неподписанный исполняемый файл, в первую очередь предназначенный для учебных аудиторий. Более важным моментом является то, что неподписанный исполняемый файл запускается во время процесса запуска, полностью обходя проверки UEFI Secure Boot.

И хотя данное ПО для восстановление совершенно легитимно, злоумышленник при желании может заменить его на зловред. Для этого атакующему нужны права администратора на компьютере жертвы. В этом случае он мог бы получить доступ к системному разделу EFI (ESP) и подставить свой собственный вредоносный файл вместо cloak.dat. Затем достаточно быстро перезагрузить систему, чтобы поместить любой вредоносный файл, который он захочет, в процесс запуска.

Компания ESET обнаружила CVE-2024-7344 в июле 2024 года. С тех пор все уязвимые приложения были исправлены, а Microsoft отозвала старые уязвимые двоичные файлы в своем обновлении Patch Tuesday от 14 января 2025 года.

Источник: https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/

#уязвимость #UEFI

Welivesecurity

Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344

ESET researchers have discovered a vulnerability that affects the majority of UEFI-based systems and allows bypassing UEFI Secure Boot.

www.tgoop.com/EchelonEyes/3548

1.4K viewsedited  Jan 17 at 11:04

Доверенные приложения вносят ошибку в процесс загрузки UEFI

Семь программ восстановления системы содержали бэкдор для внедрения любого ненадежного файла в процесс запуска системы, предупреждают исследователи ESET. Речь о продуктах Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery, Sanfong EZ-back System, WASAY eRecoveryRX, CES NeoImpact и SignalComputer HDD King. Все они используют вредоносный файл «reloader.efi», подписанный Microsoft файл Extensible Firmware Interface (EFI).

Файл reloader.efi использует пользовательский загрузчик, который позволяет приложению загружать даже неподписанные двоичные файлы во время процесса загрузки. По сути, это бэкдор для внедрения любого файла в процесс запуска системы, минуя UEFI Secure Boot. Уязвимости присвоен номер CVE-2024-7344, и она получила «среднюю» оценку по шкале CVSS – 6,5, потому что для ее эксплуатации требуются права администратора.

Стандартный способ загрузки, подготовки и выполнения образов UEFI в системной памяти – это автологические функции LoadImage и StartImage. Одобренное Microsoft приложение «Reloader» работает по-своему, используя специальный механизм, который позволяет ему загружать любой двоичный файл, доверенный или нет, при запуске.

По мнению исследователей ESET, такая схема могла быть выбрана либо по причине неполного понимания безопасного кодирования, либо ради удобства разработчиков.

В итоге reloader.efi загружает произвольные двоичные файлы из определенного зашифрованного файла «cloak.dat». Когда ESET расшифровала cloak.dat, то обнаружила, что он содержит неподписанный исполняемый файл, в первую очередь предназначенный для учебных аудиторий. Более важным моментом является то, что неподписанный исполняемый файл запускается во время процесса запуска, полностью обходя проверки UEFI Secure Boot.

И хотя данное ПО для восстановление совершенно легитимно, злоумышленник при желании может заменить его на зловред. Для этого атакующему нужны права администратора на компьютере жертвы. В этом случае он мог бы получить доступ к системному разделу EFI (ESP) и подставить свой собственный вредоносный файл вместо cloak.dat. Затем достаточно быстро перезагрузить систему, чтобы поместить любой вредоносный файл, который он захочет, в процесс запуска.

Компания ESET обнаружила CVE-2024-7344 в июле 2024 года. С тех пор все уязвимые приложения были исправлены, а Microsoft отозвала старые уязвимые двоичные файлы в своем обновлении Patch Tuesday от 14 января 2025 года.

Источник: https://www.welivesecurity.com/en/eset-research/under-cloak-uefi-secure-boot-introducing-cve-2024-7344/

#уязвимость #UEFI

BY Echelon Eyes