یک آسیب‌پذیری جدید در UEFI Secure Boot با شناسه CVE-2024-7344 کشف شده است که می‌تواند برای نصب بوتکیت‌ها حتی در صورت فعال بودن قابلیت Secure Boot مورد سوءاستفاده قرار گیرد. این آسیب‌پذیری مربوط به یک برنامه امضا شده توسط مایکروسافت است.

این برنامه UEFI آسیب‌پذیر در چندین ابزار بازیابی سیستم بلادرنگ (Real-Time System Recovery) از توسعه‌دهندگان نرم‌افزاری مختلف وجود دارد.


لایسنس ویندوز 10 را همین حالا با کمترین قیمت خریداری کنید.


بوتکیت‌ها یک تهدید امنیتی جدی محسوب می‌شوند، زیرا تشخیص آن‌ها دشوار است. این بدافزارها قبل از بارگذاری سیستم عامل فعال می‌شوند و حتی پس از نصب مجدد سیستم عامل نیز باقی می‌مانند.

این مشکل از استفاده برنامه از یک لودر PE سفارشی ناشی می‌شود که اجازه می‌دهد هر باینری UEFI، حتی اگر امضا نشده باشد، بارگذاری شود.

به طور خاص، برنامه UEFI آسیب‌پذیر از سرویس‌های معتبری مانند LoadImage و StartImage استفاده نمی‌کند که باینری‌ها را در برابر پایگاه‌داده اعتماد (db) و پایگاه‌داده لغو اعتبار (dbx) بررسی می‌کنند.

در این زمینه، reloader.efi به صورت دستی باینری‌ها را از فایل cloak.dat که حاوی یک تصویر PE رمزگذاری شده ساده با XOR است، رمزگشایی کرده و در حافظه بارگذاری می‌کند.

این فرآیند ناامن می‌تواند توسط یک مهاجم مورد سوءاستفاده قرار گیرد. مهاجم می‌تواند بوت‌لودر پیش‌فرض سیستم عامل را در پارتیشن EFI با reloader.efi آسیب‌پذیر جایگزین کرده و یک فایل مخرب cloak.dat را در مسیرهای تعیین‌شده قرار دهد.

این فرآیند باعث می‌شود که باینری مخرب به‌راحتی و بدون هیچ گونه بررسی امنیتی اجرا شود، که خطر نفوذ بوتکیت‌ها و دیگر بدافزارها را به طور قابل توجهی افزایش می‌دهد.

UEFI Secure Boot process

این آسیب‌پذیری برنامه‌های UEFI را تحت تأثیر قرار می‌دهد که برای کمک به بازیابی سیستم، نگهداری دیسک یا پشتیبان‌گیری طراحی شده‌اند و برنامه‌های UEFI عمومی محسوب نمی‌شوند.

گزارش برخی انتی‌ویروس‌ها محصولات و نسخه‌های زیر را به‌عنوان آسیب‌پذیر فهرست کرده است:

Howyar SysReturn قبل از نسخه 10.2.023_20240919

Greenware GreenGuard قبل از نسخه 10.2.023-20240927

Radix SmartRecovery قبل از نسخه 11.2.023-20240927

Sanfong EZ-back System قبل از نسخه 10.3.024-20241127

WASAY eRecoveryRX قبل از نسخه 8.4.022-20241127

CES NeoImpact قبل از نسخه 10.1.024-20241127

SignalComputer HDD King قبل از نسخه 10.3.021-20241127

لازم به ذکر است که مهاجمان می‌توانند از آسیب‌پذیری CVE-2024-7344 حتی در صورتی که برنامه‌های فوق روی سیستم هدف نصب نباشند، سوءاستفاده کنند. هکرها می‌توانند تنها با استقرار باینری آسیب‌پذیر reloader.efi از این برنامه‌ها، حمله را انجام دهند.

با این حال، کاربرانی که از برنامه‌های فوق و نسخه‌های آسیب‌پذیر استفاده می‌کنند، باید هرچه سریع‌تر به نسخه‌های جدیدتر منتقل شوند تا سطح حمله را کاهش دهند.

رفع مشکل و راه‌کارهای کاهش خطر

مایکروسافت برای آسیب‌پذیری CVE-2024-7344 یک وصله منتشر کرده است کافی است آخرین آپدیت را دریافت کنید تا این باگ برطرف شود .