یک آسیبپذیری جدید در UEFI Secure Boot با شناسه CVE-2024-7344 کشف شده است که میتواند برای نصب بوتکیتها حتی در صورت فعال بودن قابلیت Secure Boot مورد سوءاستفاده قرار گیرد. این آسیبپذیری مربوط به یک برنامه امضا شده توسط مایکروسافت است.
این برنامه UEFI آسیبپذیر در چندین ابزار بازیابی سیستم بلادرنگ (Real-Time System Recovery) از توسعهدهندگان نرمافزاری مختلف وجود دارد.
لایسنس ویندوز 10 را همین حالا با کمترین قیمت خریداری کنید.
بوتکیتها یک تهدید امنیتی جدی محسوب میشوند، زیرا تشخیص آنها دشوار است. این بدافزارها قبل از بارگذاری سیستم عامل فعال میشوند و حتی پس از نصب مجدد سیستم عامل نیز باقی میمانند.
این مشکل از استفاده برنامه از یک لودر PE سفارشی ناشی میشود که اجازه میدهد هر باینری UEFI، حتی اگر امضا نشده باشد، بارگذاری شود.
به طور خاص، برنامه UEFI آسیبپذیر از سرویسهای معتبری مانند LoadImage
و StartImage
استفاده نمیکند که باینریها را در برابر پایگاهداده اعتماد (db) و پایگاهداده لغو اعتبار (dbx) بررسی میکنند.
در این زمینه، reloader.efi
به صورت دستی باینریها را از فایل cloak.dat
که حاوی یک تصویر PE رمزگذاری شده ساده با XOR است، رمزگشایی کرده و در حافظه بارگذاری میکند.
این فرآیند ناامن میتواند توسط یک مهاجم مورد سوءاستفاده قرار گیرد. مهاجم میتواند بوتلودر پیشفرض سیستم عامل را در پارتیشن EFI با reloader.efi
آسیبپذیر جایگزین کرده و یک فایل مخرب cloak.dat
را در مسیرهای تعیینشده قرار دهد.
این فرآیند باعث میشود که باینری مخرب بهراحتی و بدون هیچ گونه بررسی امنیتی اجرا شود، که خطر نفوذ بوتکیتها و دیگر بدافزارها را به طور قابل توجهی افزایش میدهد.

این آسیبپذیری برنامههای UEFI را تحت تأثیر قرار میدهد که برای کمک به بازیابی سیستم، نگهداری دیسک یا پشتیبانگیری طراحی شدهاند و برنامههای UEFI عمومی محسوب نمیشوند.
گزارش برخی انتیویروسها محصولات و نسخههای زیر را بهعنوان آسیبپذیر فهرست کرده است:
Howyar SysReturn قبل از نسخه 10.2.023_20240919
Greenware GreenGuard قبل از نسخه 10.2.023-20240927
Radix SmartRecovery قبل از نسخه 11.2.023-20240927
Sanfong EZ-back System قبل از نسخه 10.3.024-20241127
WASAY eRecoveryRX قبل از نسخه 8.4.022-20241127
CES NeoImpact قبل از نسخه 10.1.024-20241127
SignalComputer HDD King قبل از نسخه 10.3.021-20241127
لازم به ذکر است که مهاجمان میتوانند از آسیبپذیری CVE-2024-7344 حتی در صورتی که برنامههای فوق روی سیستم هدف نصب نباشند، سوءاستفاده کنند. هکرها میتوانند تنها با استقرار باینری آسیبپذیر reloader.efi از این برنامهها، حمله را انجام دهند.
با این حال، کاربرانی که از برنامههای فوق و نسخههای آسیبپذیر استفاده میکنند، باید هرچه سریعتر به نسخههای جدیدتر منتقل شوند تا سطح حمله را کاهش دهند.
رفع مشکل و راهکارهای کاهش خطر
مایکروسافت برای آسیبپذیری CVE-2024-7344 یک وصله منتشر کرده است کافی است آخرین آپدیت را دریافت کنید تا این باگ برطرف شود .