UEFI Secure Boot一直被視為保障系統(tǒng)啟動(dòng)安全的關(guān)鍵防線和“底線”。然而，近期發(fā)現(xiàn)的一個(gè)嚴(yán)重漏洞（CVE-2024-7344），卻讓這一防線面臨重大挑戰(zhàn)。該漏洞影響一個(gè)由微軟簽名的應(yīng)用程序，攻擊者可利用其部署啟動(dòng)工具包（bootkits），即使在Secure Boot保護(hù)激活的情況下也不例外。

漏洞詳情

1.受影響的UEFI應(yīng)用

該漏洞涉及的UEFI應(yīng)用廣泛存在于多個(gè)實(shí)時(shí)系統(tǒng)恢復(fù)工具中，這些工具由多個(gè)第三方軟件開(kāi)發(fā)商提供。這些應(yīng)用原本旨在協(xié)助系統(tǒng)恢復(fù)、磁盤(pán)維護(hù)或備份，卻因安全漏洞而成為攻擊者的突破口。

2.漏洞成因

問(wèn)題根源在于該UEFI應(yīng)用使用了自定義的PE加載器，這使得加載任何UEFI二進(jìn)制文件成為可能，即使這些文件未經(jīng)過(guò)簽名。具體來(lái)說(shuō)，該應(yīng)用未依賴于可信服務(wù)，如“LoadImage”和“StartImage”，這些服務(wù)會(huì)驗(yàn)證二進(jìn)制文件是否符合信任數(shù)據(jù)庫(kù)（db）和撤銷(xiāo)數(shù)據(jù)庫(kù)（dbx）的要求。

UEFI安全啟動(dòng)流程

3.攻擊手法

攻擊者可利用這一漏洞，通過(guò)替換應(yīng)用的默認(rèn)操作系統(tǒng)引導(dǎo)加載程序，將易受攻擊的“reloader.efi”和惡意的“cloak.dat”文件植入EFI分區(qū)的指定路徑。系統(tǒng)啟動(dòng)時(shí)，自定義加載器會(huì)解密并執(zhí)行惡意二進(jìn)制文件，而無(wú)需Secure Boot驗(yàn)證。

影響范圍

1.受影響產(chǎn)品及版本

ESET的報(bào)告列出了以下易受攻擊的產(chǎn)品和版本：

• Howyar SysReturn 10.2.023_20240919之前的版本
• Greenware GreenGuard 10.2.023-20240927之前的版本
• Radix SmartRecovery 11.2.023-20240927之前的版本
• Sanfong EZ-back System 10.3.024-20241127之前的版本
• WASAY eRecoveryRX 8.4.022-20241127之前的版本
• CES NeoImpact 10.1.024-20241127之前的版本
• Signal Computer HDD King 10.3.021-20241127之前的版本

2.潛在攻擊風(fēng)險(xiǎn)

值得注意的是，即使上述應(yīng)用未安裝在目標(biāo)計(jì)算機(jī)上，攻擊者仍可利用CVE-2024-7344，只需部署易受攻擊的“reloader.efi”二進(jìn)制文件即可。因此，使用上述應(yīng)用且受影響版本的用戶應(yīng)盡快升級(jí)至最新版本，以消除攻擊面。

修復(fù)與緩解措施

1.微軟補(bǔ)丁

微軟已于2025年1月14日的Patch Tuesday更新中發(fā)布了CVE-2024-7344的補(bǔ)丁。ESET于2024年7月8日發(fā)現(xiàn)該漏洞，并向CERT協(xié)調(diào)中心（CERT/CC）報(bào)告，以便與受影響方進(jìn)行協(xié)調(diào)披露。

2.受影響廠商的修復(fù)

受影響的廠商已在產(chǎn)品中修復(fù)了該問(wèn)題，微軟也在同日的更新中撤銷(xiāo)了易受攻擊的UEFI應(yīng)用的證書(shū)。在接下來(lái)的幾個(gè)月里，ESET與受影響的廠商合作，評(píng)估提議的補(bǔ)丁并消除安全問(wèn)題。

3.自動(dòng)與手動(dòng)檢查

2025年1月14日，微軟撤銷(xiāo)了易受攻擊的UEFI應(yīng)用的證書(shū)，這應(yīng)阻止任何嘗試執(zhí)行其二進(jìn)制文件的行為。此緩解措施會(huì)自動(dòng)應(yīng)用于安裝了最新Windows更新的用戶。ESET還分享了PowerShell命令，供關(guān)鍵系統(tǒng)管理員手動(dòng)檢查撤銷(xiāo)是否已成功應(yīng)用。

事件反思與行業(yè)警示

此次UEFI Secure Boot繞過(guò)漏洞的發(fā)現(xiàn)，凸顯了第三方UEFI軟件安全實(shí)踐和微軟UEFI應(yīng)用程序代碼簽名過(guò)程中的更廣泛?jiǎn)栴}。ESET研究人員呼吁微軟在其審查第三方UEFI應(yīng)用程序簽名的過(guò)程中提高透明度，以防止未來(lái)出現(xiàn)類(lèi)似漏洞。這一事件提醒我們，即使是被視為關(guān)鍵安全功能的UEFI Secure Boot，也不是牢不可破的屏障。企業(yè)和組織必須保持高度警惕，及時(shí)更新和審查安全措施，以應(yīng)對(duì)不斷演變的網(wǎng)絡(luò)威脅態(tài)勢(shì)。