新的 UEFI 安全启动漏洞可能允许攻击者加载恶意 Bootkit 网络相关


有关现已修补的安全漏洞的详细信息已经浮出水面,该漏洞可能允许绕过统一可扩展固件接口 (UEFI) 系统中的安全启动机制。

根据ESET 与 The Hacker News 分享的新报告,该漏洞的 CVE 标识符为CVE-2024-7344(CVSS 分数:6.7),位于由微软“Microsoft Corporation UEFI CA 2011”第三方 UEFI 证书签名的 UEFI 应用程序中。

成功利用该漏洞可导致系统启动期间执行不受信任的代码,从而使攻击者能够在启用安全启动的机器上部署恶意 UEFI 启动套件,而不管所安装的操作系统是什么。

安全启动是一种固件安全标准,可确保设备仅使用原始设备制造商 (OEM) 信任的软件进行启动,从而防止计算机启动时加载恶意软件。该功能利用数字签名来验证加载代码的真实性、来源和完整性。

受影响的 UEFI 应用程序是 Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc. 和 Signal Computer GmbH 开发的几款实时系统恢复软件套件的一部分 -

Howyar SysReturn 10.2.023_20240919 之前的版本
Greenware GreenGuard 10.2.023-20240927 之前的版本
Radix SmartRecovery 11.2.023-20240927 之前的版本
三峰EZ-back系统10.3.024-20241127之前版本
WASAY eRecoveryRX 8.4.022-20241127 之前的版本
CES NeoImpact 10.1.024-20241127 之前版本
SignalComputer HDD King 10.3.021-20241127 之前版本

ESET 研究员 Martin Smolár 表示: “该漏洞是由于使用自定义 PE 加载程序而不是使用标准且安全的 UEFI 函数LoadImage和StartImage而导致的。因此,无论 UEFI 安全启动状态如何,该应用程序都允许在系统启动期间从名为 cloak.dat 的特制文件加载任何 UEFI 二进制文件(甚至是未签名的二进制文件)。”

因此,利用 CVE-2024-7344 的攻击者可以绕过 UEFI 安全启动保护,并在操作系统加载之前在 UEFI 上下文中的启动过程中执行未签名的代码,从而授予他们对主机的隐蔽、持久的访问权限。

CERT 协调中心 (CERT/CC)表示:“在此早期启动阶段执行的代码可以保留在系统中,可能会加载恶意内核扩展,这些扩展在重新启动和操作系统重新安装后仍会存在。此外,它可能会逃避基于操作系统和端点检测和响应 (EDR) 安全措施的检测。”

恶意攻击者可以通过将自己的易受攻击的“reloader.efi”二进制文件副本带到任何已注册 Microsoft 第三方 UEFI 证书的 UEFI 系统,进一步扩大利用范围。但是,需要提升权限才能将易受攻击的恶意文件部署到 EFI 系统分区:Windows 上的本地管理员和 Linux 上的 root。

这家斯洛伐克网络安全公司表示,它于 2024 年 6 月负责任地向 CERT/CC 披露了调查结果,随后 Howyar Technologies 及其合作伙伴在相关产品中解决了该问题。2025 年 1 月 14 日,微软在其补丁星期二更新中撤销了旧的易受攻击的二进制文件。

除了应用 UEFI 撤销之外,管理对位于 EFI 系统分区上的文件的访问、安全启动定制以及使用可信平台模块 ( TPM ) 进行远程证明是防止利用未知的易受攻击的签名 UEFI 引导加载程序和部署 UEFI 引导套件的其他一些方法。

Smolár 表示:“近年来发现的 UEFI 漏洞数量,以及在合理时间范围内修补这些漏洞或撤销易受攻击的二进制文件的失败表明,即使是像 UEFI 安全启动这样重要的功能也不应被视为坚不可摧的屏障。”

“然而,关于这个漏洞,我们最担心的不是修复和撤销二进制文件所花的时间,与类似情况相比,这个时间已经很不错了,但事实是,这并不是第一次发现这种明显不安全的签名 UEFI 二进制文件。这引发了这样的疑问:第三方 UEFI 软件供应商使用这种不安全技术有多普遍,以及可能还有多少其他类似的晦涩难懂但签名的引导加载程序。”

标签: UEFI Bootkit

之参博客 发布于  2025-1-17 19:48 

研究人员发现影响多款英特尔 CPU 的 UEFI 漏洞 网络相关


网络安全研究人员披露了 Phoenix SecureCore UEFI 固件中现已修复的安全漏洞的详细信息,该漏洞影响多个系列的英特尔酷睿台式机和移动处理器。

“UEFIcanhazbufferoverflow”漏洞的编号为CVE-2024-0762(CVSS 评分:7.5),它被描述为一种缓冲区溢出的情况,源于在受信任平台模块 (TPM) 配置中使用不安全变量,可能导致执行恶意代码。

供应链安全公司 Eclypsium在与 The Hacker News 分享的一份报告中表示: “该漏洞允许本地攻击者提升权限并在运行时在 UEFI 固件中执行代码。”

“这种低级利用是固件后门(例如BlackLotus)的典型特征,这种后门在野外越来越常见。此类植入使攻击者能够在设备中持续驻留,并且通常能够逃避在操作系统和软件层中运行的更高级别的安全措施。”

在负责任地披露之后,Phoenix Technologies 于 2024 年 4 月解决了该漏洞。个人电脑制造商联想也在上个月发布了针对该漏洞的更新。

固件开发人员表示:“此漏洞会影响使用 Phoenix SecureCore 固件并运行部分英特尔处理器系​​列的设备,包括 AlderLake、CoffeeLake、CometLake、IceLake、JasperLake、KabyLake、MeteorLake、RaptorLake、RocketLake 和 TigerLake。”

UEFI是 BIOS 的后继者,是指启动期间用于初始化硬件组件并通过启动管理器加载操作系统的主板固件。

由于 UEFI 是第一个以最高权限运行的代码,因此它对于威胁行为者来说是一个有利可图的目标,威胁行为者希望部署启动工具包和固件植入程序,这些程序可以破坏安全机制并在不被发现的情况下保持持久性。

这也意味着在 UEFI 固件中发现的漏洞可能带来严重的供应链风险,因为它们可以同时影响许多不同的产品和供应商。

Eclypsium 表示:“UEFI 固件是现代设备上最有价值的代码之一,任何对该代码的破坏都可能让攻击者完全控制并持久控制设备。”

近一个月前,惠普披露了其 UEFI 实施中一个类似的未修补的缓冲区溢出漏洞,该漏洞影响了 HP ProBook 11 EE G1,该设备于 2020 年 9 月已达到使用寿命终止 (EoL) 状态。

此前还披露了一种名为 TPM GPIO Reset 的软件攻击,攻击者可利用该攻击访问其他操作系统存储在磁盘上的机密信息,或破坏受 TPM 保护的控制(例如磁盘加密或启动保护)。


之参博客 发布于  2024-6-21 10:48