Experții ESET au descoperit o vulnerabilitate extrem de periculoasă care ar putea permite instalarea unui bootkit pe un sistem prin ocolirea funcției Secure Boot. În practică, acest lucru înseamnă că codul rău intenționat se poate încărca înaintea sistemului de operare și a diferitelor programe de protecție, ceea ce îl face practic imposibil de detectat și de eliminat prin simpla reinstalare a sistemului de operare.
Vulnerabilitatea este deja cunoscută de experții Microsoft, fiind disponibil deja un remediu în cadrul recentului Patch Tuesday. Actualizarea este disponibilă atât pentru Windows 10, cât și pentru Windows 11, și a corectat 159 erori, inclusiv unele vulnerabilități critice alternative.
Vulnerabilitatea are codul CVE-2024-7344 și se numește Howyar Taiwan Secure Boot Bypass, și este foarte, foarte periculoasă. Vulnerabilitatea rezidă în încărcătorul PE personalizat, care permite încărcarea oricărui binar UEFI, chiar și a unuia care nu are semnături validă. Vulnerabilitatea permite și instalarea codurilor malițioase, datorită faptului că software-ul se bazează pe funcții nesigure precum LoadImage sau StartImage.
Vulnerabilitatea ar putea permite atacatorilor să înlocuiască booloader-ul sistemului de operare implicit de pe partiția EFI cu un fișier imagine XOR PE criptat, vulnerabil și rudimentar, care ar putea fi utilizat pentru a porni sistemul dezarmat. Deoarece această metodă distruge Secure Boot și toate celelalte măsuri de securitate, sistemul de operare devine vulnerabil pentru orice atac extern.
Vulnerabilitatea a fost parte a unor serii de instrumente care au fost concepute inițial pentru restaurarea, întreținerea sau salvarea datelor. Instrumentele afectate sunt enumerate mai jos, împreună cu numărul versiunii care conține vulnerabilitatea. Certificatele pentru instrumentele afectate au fost revocate:
- Howyar SysReturn: versiuni mai vechi de 10.2.023_20240919
- Greenware GreenGuard: versiuni anterioare datei de 10.2.023-20240927
- Radix SmartRecovery : versiuni anterioare datei de 11.2.023-20240927
- Sanfong EZ-back System: versiuni anterioare datei de 10.3.024-20241127
- WASAY eRecoveryRX: versiuni anterioare datei de 8.4.022-20241127
- CES NeoImpact: versiuni mai vechi de 10.1.024-20241127
- SignalComputer HDD King: versiuni anterioare datei de 10.3.021-20241127
Dacă utilizați una dintre aplicațiile de mai sus, este recomandat a efectua o actualizare prin Windows Update, și doar apoi să le rulați - cele mai recente versiuni ar trebui să fie lipsite de probleme.
