UEFI Secure Boot一直被視為保障系統(tǒng)啟動安全的關鍵防線和“底線”。然而，近期發(fā)現(xiàn)的一個嚴重漏洞（CVE-2024-7344），卻讓這一防線面臨重大挑戰(zhàn)。該漏洞影響一個由微軟簽名的應用程序，攻擊者可利用其部署啟動工具包（bootkits），即使在Secure Boot保護激活的情況下也不例外。

漏洞詳情

1.受影響的UEFI應用

該漏洞涉及的UEFI應用廣泛存在于多個實時系統(tǒng)恢復工具中，這些工具由多個第三方軟件開發(fā)商提供。這些應用原本旨在協(xié)助系統(tǒng)恢復、磁盤維護或備份，卻因安全漏洞而成為攻擊者的突破口。

2.漏洞成因

問題根源在于該UEFI應用使用了自定義的PE加載器，這使得加載任何UEFI二進制文件成為可能，即使這些文件未經(jīng)過簽名。具體來說，該應用未依賴于可信服務，如“LoadImage”和“StartImage”，這些服務會驗證二進制文件是否符合信任數(shù)據(jù)庫（db）和撤銷數(shù)據(jù)庫（dbx）的要求。

UEFI安全啟動流程

3.攻擊手法

攻擊者可利用這一漏洞，通過替換應用的默認操作系統(tǒng)引導加載程序，將易受攻擊的“reloader.efi”和惡意的“cloak.dat”文件植入EFI分區(qū)的指定路徑。系統(tǒng)啟動時，自定義加載器會解密并執(zhí)行惡意二進制文件，而無需Secure Boot驗證。

影響范圍

1.受影響產(chǎn)品及版本

ESET的報告列出了以下易受攻擊的產(chǎn)品和版本：

• Howyar SysReturn 10.2.023_20240919之前的版本
• Greenware GreenGuard 10.2.023-20240927之前的版本
• Radix SmartRecovery 11.2.023-20240927之前的版本
• Sanfong EZ-back System 10.3.024-20241127之前的版本
• WASAY eRecoveryRX 8.4.022-20241127之前的版本
• CES NeoImpact 10.1.024-20241127之前的版本
• Signal Computer HDD King 10.3.021-20241127之前的版本

2.潛在攻擊風險

值得注意的是，即使上述應用未安裝在目標計算機上，攻擊者仍可利用CVE-2024-7344，只需部署易受攻擊的“reloader.efi”二進制文件即可。因此，使用上述應用且受影響版本的用戶應盡快升級至最新版本，以消除攻擊面。

修復與緩解措施

1.微軟補丁

微軟已于2025年1月14日的Patch Tuesday更新中發(fā)布了CVE-2024-7344的補丁。ESET于2024年7月8日發(fā)現(xiàn)該漏洞，并向CERT協(xié)調(diào)中心（CERT/CC）報告，以便與受影響方進行協(xié)調(diào)披露。

2.受影響廠商的修復

受影響的廠商已在產(chǎn)品中修復了該問題，微軟也在同日的更新中撤銷了易受攻擊的UEFI應用的證書。在接下來的幾個月里，ESET與受影響的廠商合作，評估提議的補丁并消除安全問題。

3.自動與手動檢查

2025年1月14日，微軟撤銷了易受攻擊的UEFI應用的證書，這應阻止任何嘗試執(zhí)行其二進制文件的行為。此緩解措施會自動應用于安裝了最新Windows更新的用戶。ESET還分享了PowerShell命令，供關鍵系統(tǒng)管理員手動檢查撤銷是否已成功應用。

事件反思與行業(yè)警示

此次UEFI Secure Boot繞過漏洞的發(fā)現(xiàn)，凸顯了第三方UEFI軟件安全實踐和微軟UEFI應用程序代碼簽名過程中的更廣泛問題。ESET研究人員呼吁微軟在其審查第三方UEFI應用程序簽名的過程中提高透明度，以防止未來出現(xiàn)類似漏洞。這一事件提醒我們，即使是被視為關鍵安全功能的UEFI Secure Boot，也不是牢不可破的屏障。企業(yè)和組織必須保持高度警惕，及時更新和審查安全措施，以應對不斷演變的網(wǎng)絡威脅態(tài)勢。