Detalhes emergiram sobre uma vulnerabilidade de segurança agora corrigida que poderia permitir a burla do mecanismo de Secure Boot em sistemas Unified Extensible Firmware Interface (UEFI).
A vulnerabilidade, designada pelo identificador CVE
CVE-2024-7344
(pontuação CVSS: 6.7), reside em um aplicativo UEFI assinado pelo certificado UEFI de terceiros "Microsoft Corporation UEFI CA 2011" da Microsoft, de acordo com um novo relatório da ESET compartilhado com The Hacker News.
A exploração bem-sucedida da falha pode levar à execução de código não confiável durante o boot do sistema, permitindo, assim, que atacantes implantem bootkits UEFI maliciosos em máquinas que tenham o Secure Boot ativado, independentemente do sistema operacional instalado.
O Secure Boot é um padrão de segurança de firmware que impede a carga de malware quando um computador é inicializado, garantindo que o dispositivo seja iniciado usando apenas software que é confiável pelo fabricante original do equipamento (OEM).
O recurso utiliza assinaturas digitais para validar a autenticidade, a fonte e a integridade do código carregado.
O aplicativo UEFI afetado faz parte de vários pacotes de software de recuperação de sistema em tempo real desenvolvidos por Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. e Signal Computer GmbH:
- Howyar SysReturn antes da versão 10.2.023_20240919
- Greenware GreenGuard antes da versão 10.2.023-20240927
- Radix SmartRecovery antes da versão 11.2.023-20240927
- Sanfong EZ-back System antes da versão 10.3.024-20241127
- WASAY eRecoveryRX antes da versão 8.4.022-20241127
- CES NeoImpact antes da versão 10.1.024-20241127
- SignalComputer HDD King antes da versão 10.3.021-20241127
"A vulnerabilidade é causada pelo uso de um carregador PE personalizado em vez de utilizar as funções UEFI padrão e seguras LoadImage e StartImage," disse o pesquisador da ESET, Martin Smolár.
Como resultado, o aplicativo permite o carregamento de qualquer binário UEFI – mesmo um não assinado – de um arquivo especialmente criado chamado cloak.dat, durante a inicialização do sistema, independentemente do estado do UEFI Secure Boot.
Um atacante que exploite o
CVE-2024-7344
poderia, portanto, contornar as proteções do UEFI Secure Boot e executar código não assinado durante o processo de boot no contexto UEFI, mesmo antes de o sistema operacional ser carregado, concedendo-lhes acesso encoberto e persistente ao host.
"Código executado nesta fase inicial de boot pode persistir no sistema, potencialmente carregando extensões maliciosas do kernel que sobrevivem tanto a reinicializações quanto a reinstalações do SO," disse o CERT Coordination Center (CERT/CC).
Adicionalmente, pode evadir a detecção por medidas de segurança baseadas em SO e de detecção e resposta em endpoints (EDR). Atores maliciosos poderiam expandir ainda mais o escopo da exploração trazendo sua própria cópia do binário "reloader.efi" vulnerável para qualquer sistema UEFI com o certificado UEFI de terceiros da Microsoft inscrito.
No entanto, privilégios elevados são necessários para implantar os arquivos vulneráveis e maliciosos na partição do sistema EFI: administrador local no Windows e root no Linux.
A empresa eslovaca de cibersegurança disse que divulgou de forma responsável as descobertas ao CERT/CC em junho de 2024, após o qual a Howyar Technologies e seus parceiros abordaram a questão nos produtos em questão.
Em 14 de janeiro de 2025, a Microsoft revogou os binários antigos e vulneráveis como parte de sua atualização de Patch Tuesday.
Além de aplicar revogações UEFI, gerenciar o acesso a arquivos localizados na partição do sistema EFI, a personalização do Secure Boot e a atestação remota com um Trusted Platform Module (TPM) são algumas das outras maneiras de proteger contra a exploração de bootloaders UEFI assinados vulneráveis desconhecidos e a implantação de bootkits UEFI.
"O número de vulnerabilidades UEFI descobertas nos últimos anos e as falhas em corrigi-las ou revogar binários vulneráveis dentro de um prazo razoável mostram que mesmo um recurso tão essencial como o UEFI Secure Boot não deve ser considerado uma barreira intransponível," disse Smolár.
No entanto, o que mais nos preocupa em relação à vulnerabilidade não é o tempo que levou para corrigir e revogar o binário, que foi bastante bom comparado a casos semelhantes, mas o fato de que essa não é a primeira vez que um binário UEFI assinado obviamente inseguro foi descoberto.
Isso levanta questões sobre quão comum é o uso de tais técnicas inseguras entre fornecedores de software UEFI de terceiros e quantos outros bootloaders obscuros, mas assinados, podem existir por aí.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...