ESET 研究人员发现了一个影响大多数基于 UEFI 系统的漏洞 (CVE-2024-7344),该漏洞允许攻击者绕过 UEFI 安全启动。
该问题是在使用微软 “Microsoft Corporation UEFI CA 2011 ”第三方证书签署的 UEFI 应用程序中发现的。利用此漏洞可在系统启动期间执行不受信任的代码,允许攻击者部署恶意 UEFI 引导包(如 Bootkitty 或 BlackLotus),即使在启用了 UEFI 安全引导的系统上也是如此,与操作系统无关。
受影响的供应商
受影响的 UEFI 应用程序是 Howyar Technologies、Greenware Technologies、Radix Technologies、SANFONG、Wasay Software Technology、Computer Education System 和 Signal Computer 开发的多个实时系统恢复软件套件的一部分。
易受攻击的软件产品列表:
- 版本 10.2.023_20240919 之前的 Howyar SysReturn
- 版本 10.2.023-20240927 之前的 Greenware GreenGuard
- 11.2.023-20240927 版之前的 Radix SmartRecovery
- Sanfong EZ-back System(版本 10.3.024-20241127 之前
- 8.4.022-20241127 版之前的 WASAY eRecoveryRX
- 10.1.024-20241127 版之前的 CES NeoImpact
- SignalComputer HDD King 10.3.021-20241127 版之前
发现该漏洞的 ESET 研究员 Martin Smolár 说:“近年来发现的 UEFI 漏洞数量之多,以及在合理的时间窗口内修补漏洞或撤销易受攻击二进制文件的失败表明,即使像 UEFI 安全启动这样的基本功能也不应被视为坚不可摧的屏障。然而,我们对这个漏洞最担心的不是修复和撤销二进制文件所花的时间,因为与类似情况相比,这个时间已经很不错了,而是这已经不是第一次发现这种明显不安全的签名 UEFI 二进制文件了。这不禁让人怀疑第三方 UEFI 软件供应商使用这种不安全技术的普遍程度,以及还有多少类似的晦涩但已签名的引导加载程序。”
漏洞利用
该漏洞的利用并不局限于安装了受影响的恢复软件的系统;攻击者可以在任何注册了微软第三方 UEFI 证书的 UEFI 系统上引入自己的易受攻击二进制文件副本。不过,将有漏洞的恶意文件部署到 EFI 系统分区需要提升权限(Windows 上为本地管理员,Linux 上为 root)。
造成该漏洞的原因是使用了自定义 PE 加载器,而不是使用标准、安全的 UEFI 功能 LoadImage 和 StartImage。所有启用了微软第三方 UEFI 签名的 UEFI 系统都会受到影响(Windows 11 安全内核 PC 默认情况下应禁用此选项)。
缓解措施
ESET 于 2024 年 6 月向 CERT/CC 报告了该漏洞,CERT/CC 与受影响的供应商取得了联系。此后,受影响产品中的问题已得到解决,微软在 2025 年 1 月的补丁星期二中撤销了旧的易受攻击二进制文件。
该漏洞可通过应用微软最新的 UEFI 撤销程序来缓解。Windows 系统应自动更新。有关 CVE-2024-7344 漏洞的微软信息,请点击此处。对于 Linux 系统,可通过 Linux 供应商固件服务获得更新。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容