Výskumníci spoločnosti ESET objavili zraniteľnosť umožňujúcu obídenie funkcie UEFI Secure Boot

• Výskumníci spoločnosti ESET objavili novú zraniteľnosť CVE-2024-7344, ktorá aktérom umožňuje obísť UEFI Secure Boot na väčšine systémov založených na UEFI.
• Zneužitie tejto zraniteľnosti umožňuje spustenie nedôveryhodného kódu počas štartu systému, čo umožňuje nasadenie škodlivých UEFI bootkitov.
• Problém bol dotknutými dodávateľmi odstránený; zraniteľné binárne súbory boli spoločnosťou Microsoft odstránené v aktualizácii zo 14. januára 2025.

Výskumníci spoločnosti ESET objavili zraniteľnosť, ktorá sa týka väčšiny systémov založených na UEFI a aktérom umožňuje obísť UEFI Secure Boot. Táto zraniteľnosť, označená ako CVE-2024-7344, bola objavená v UEFI aplikácii podpísanej certifikátom tretích strán UEFI od Microsoftu s názvom „Microsoft Corporation UEFI CA 2011“. Zneužitie tejto zraniteľnosti môže viesť k spusteniu nedôveryhodného kódu počas spúšťania systému, čo potenciálnym útočníkom umožňuje ľahko nasadiť škodlivé UEFI bootkity (ako napríklad Bootkitty alebo BlackLotus) aj na systémoch so zapnutou funkciou UEFI Secure Boot bez ohľadu na nainštalovaný operačný systém.

Spoločnosť ESET v júni 2024 oznámila zistenia Koordinačnému centru CERT (CERT/CC), ktoré úspešne kontaktovalo dotknutých výrobcov. Problém bol v dotknutých produktoch opravený a staré, zraniteľné binárne súbory boli spoločnosťou Microsoft zrušené v aktualizácii zo 14. januára 2025.

Postihnutá aplikácia UEFI je súčasťou niekoľkých softvérových balíkov na obnovu systému v reálnom čase, ktoré vyvinuli spoločnosti Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc., and Signal Computer GmbH.

„Počet UEFI zraniteľností objavených v posledných rokoch a neúspechy pri nasadzovaní záplat či odstraňovaní zraniteľných binárnych súborov v primeranom časovom horizonte ukazujú, že ani taká dôležitá funkcia, akou je UEFI Secure Boot, by sa nemala považovať za nepreniknuteľnú bariéru,“ hovorí výskumník spoločnosti ESET Martin Smolár, ktorý zraniteľnosť objavil. „Čo nás však v súvislosti s touto zraniteľnosťou znepokojuje najviac, nie je čas potrebný na opravu a stiahnutie binárneho súboru, ktorý bol v porovnaní s podobnými prípadmi pomerne dobrý, ale fakt, že toto nie je prvý prípad, kedy bol objavený takýto zjavne nebezpečný podpísaný UEFI binárny súbor. To vyvoláva otázky, nakoľko je používanie takýchto nebezpečných techník bežné medzi dodávateľmi softvéru tretích strán pre UEFI a koľko ďalších podobných obskúrnych, ale podpísaných, bootloaderov môže existovať.

Zneužitie tejto zraniteľnosti nie je obmedzené na systémy s nainštalovaným postihnutým softvérom na obnovu, pretože útočníci môžu preniesť vlastnú kópiu zraniteľného binárneho súboru do akéhokoľvek systému UEFI so zapísaným certifikátom UEFI tretích strán od Microsoftu. Na nasadenie zraniteľných a škodlivých súborov do systémovej partície EFI sú tiež potrebné zvýšené oprávnenia (lokálny administrátor v systéme Windows; root v systéme Linux). Zraniteľnosť je spôsobená použitím vlastného PE loadera namiesto použitia štandardných a bezpečných UEFI funkcií LoadImage a StartImage. Postihnuté sú Všetky UEFI systémy, v ktorých je povolené podpisovanie UEFI tretích strán spoločnosťou Microsoft (počítače s Windows 11 Secured-core by mali mať túto možnosť štandardne vypnutú).

Zraniteľnosť možno zmierniť použitím najnovších odvolaní UEFI od spoločnosti Microsoft. Systémy Windows by sa mali aktualizovať automaticky. Poradenstvo spoločnosti Microsoft pre zraniteľnosť CVE-2024-7344 nájdete tu. Pre systémy Linux by mali byť aktualizácie dostupné prostredníctvom služby Linux Vendor Firmware Service.

Viac technických informácií si môžete prečítať v anglickom jazyku v najnovšom článku na stránke WeLiveSecurity.com. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research. 

O spoločnosti ESET

ESET® poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.