近日,一个新的UEFI漏洞被发现,可通过多个系统恢复工具传播,微软已经正式将该漏洞标记为追踪编号"CVE-2024-7344"。根据报告的说明,该漏洞能让攻击者绕过安全启动机制,并部署对操作系统隐形的引导工具包。
据TomsHardware报道,罪魁祸首来自客户PE加载程序,允许加载任何UEFI二进制文件,甚至是未签名的二进制文件。这是由于该漏洞不依赖于可信服务,如LoadImage和StartImage等所造成的。
攻击者可以通过使用包含基本加密XOR PE映像的易受攻击版本,替换EFI分区上应用程序的默认操作系统引导加载程序来利用此功能。一旦安装,受感染的系统将使用XOR PE映像中的恶意数据进行启动。由于该漏洞完全绕过了安全启动机制并在UEFI级别中运行,软件级别的杀毒软件和安全措施对此类攻击束手无策。即便重新安装操作系统,也无法彻底清除潜在威胁。
ESET安全研究人员发现受影响软件产品包括:
Howyar SysReturn(10.2.023_20240919之前版本)
Greenware GreenGuard(10.2.023-20240927之前版本)
Radix SmartRecovery(11.2.023-20240927之前版本)
Sanfong EZ-back System(10.3.024-20241127之前版本)
WASAY eRecoveryRX(8.4.022-20241127之前版本)
CES NeoImpact(10.1.024-20241127之前版本)
SignalComputer HDD King(10.3.021-20241127之前版本)
微软和ESET安全部门已经采取措施保护公众免受此漏洞的侵害,并联系了受影响的供应商,以消除安全问题。