Secure Boot UEFI, una nuova vulnerabilità consente l'installazione di bootkit

Secure Boot UEFI, una nuova vulnerabilità consente l'installazione di bootkit

Una nuova vulnerabilità nel Secure Boot UEFI, presente in applicazioni firmate Microsoft, permette l'installazione di bootkit malevoli anche con protezioni attive. La falla, già corretta, colpisce diversi strumenti di recupero di terze parti ampiamente diffusi

di pubblicata il , alle 10:31 nel canale Sicurezza
 

Una nuova vulnerabilità a carico di Secure Boot UEFI, tracciata come CVE-2024-7344, è stata scoperta nell'applicazione reloader.efi firmata da Microsoft. Si tratta di una falla che, se opportunamente sfruttata, può consentire la distribuzione e installazione di bootkit anche quando la protezione Secure Boot è attiva.

L'applicazione UEFI vulnerabile è presente in diversi strumenti di recupero di sistema in tempo reale sviluppati da terze parti. Il problema deriva dall'utilizzo di un caricatore PE personalizzato che consente di caricare qualsiasi binario UEFI, anche se non firmato. Nello specifico, l'applicazione vulnerabile non si affida alle funzioni UEFI affidabili 'LoadImage' e 'StartImage' per validare i binari rispetto al database di fiducia (db) e al database di revoca (dbx). reloader.efi invece decripta e carica manualmente in memoria i binari da cloak.dat, che contiene un'immagine PE crittografata in modo rudimentale con XOR.

I bootkit rappresentano una grave minaccia per la sicurezza, difficile da rilevare poiché agiscono prima del caricamento del sistema operativo e sopravvivono alle reinstallazioni dell'OS. Un attaccante potrebbe sfruttare questa vulnerabilità sostituendo il bootloader predefinito dell'OS sulla partizione EFI con un reloader.efi vulnerabile e inserendo un file cloak.dat malevolo nei percorsi nominali. All'avvio del sistema, il caricatore personalizzato decripterebbe ed eseguirebbe il binario malevolo senza la validazione del Secure Boot.

La vulnerabilità colpisce applicazioni UEFI progettate per assistere nel recupero del sistema, nella manutenzione del disco o nei backup. La società di sicurezza, che ha analizzato il problema, ESET ha elencato i seguenti prodotti e versioni come vulnerabili:

  • Howyar SysReturn prima della versione 10.2.023_20240919
  • Greenware GreenGuard prima della versione 10.2.023-20240927
  • Radix SmartRecovery prima della versione 11.2.023-20240927
  • Sanfong EZ-back System prima della versione 10.3.024-20241127
  • WASAY eRecoveryRX prima della versione 8.4.022-20241127
  • CES NeoImpact prima della versione 10.1.024-20241127
  • SignalComputer HDD King prima della versione 10.3.021-20241127

Microsoft ha rilasciato una patch per CVE-2024-7344 e il 14 gennaio 2025 ha revocato i certificati delle applicazioni UEFI vulnerabili, bloccando così qualsiasi tentativo di eseguire i loro binari. Questa mitigazione viene applicata automaticamente agli utenti che hanno installato l'ultimo aggiornamento di Windows.

ESET ha scoperto la vulnerabilità l'8 luglio 2024 e l'ha segnalata al CERT Coordination Center (CERT/CC) per una divulgazione coordinata alle parti interessate. Nei mesi successivi, ESET ha collaborato con i fornitori interessati per valutare le patch proposte ed eliminare il problema di sicurezza. Gli utenti che utilizzano le applicazioni e le versioni colpite dovrebbero passare alle nuove versioni il prima possibile per eliminare la superficie di attacco.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sbaffo17 Gennaio 2025, 10:58 #1
CVD, più è "secure", "trusted", ecc., più è sicuro che lo bucano.
In pratica è bucato come un colabrodo, sono anni che si sentono falle in questi secure fluff...

potrebbero chiamarli Doc, Docg, Dop come i nostri vini, cambia poco e non si capisce una fava ugualmente
coschizza17 Gennaio 2025, 11:13 #2
Originariamente inviato da: sbaffo
CVD, più è "secure", "trusted", ecc., più è sicuro che lo bucano.
In pratica è bucato come un colabrodo, sono anni che si sentono falle in questi secure fluff...

potrebbero chiamarli Doc, Docg, Dop come i nostri vini, cambia poco e non si capisce una fava ugualmente


quindi la tua soluzione e lasciare tutto aperto al 100% bucabile da un bambino di 3 anni, domanda seria quale sarebbe la tua teoria? smettere di fare patch di sicurezza direttamente?

Non so che capacita informatiche hai ma sappi che le falle di sicurezza ci sono nel 100% dei software e ne vengono scovate a livello mondiale alcune centinaia ogni mese, CENTINAIA AL MESE non 2

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^