Krytyczna luka w zabezpieczeniach UEFI. Można przejąć kontrolę nad komputerem (jest exploit)

Krótko o UEFI

UEFI (Unified Extensible Firmware Interface) to nowoczesna wersja oprogramowania układowego (firmware), które zarządza procesem uruchamiania komputera, zastępując starszy BIOS. UEFI oferuje szybszy start systemu, większą kompatybilność z nowoczesnymi technologiami (np. dyskami o dużej pojemności) oraz wsparcie dla bardziej zaawansowanych funkcji bezpieczeństwa, takich jak Secure Boot.

Fakt, że UEFI jest pierwszym kodem uruchamianym z najwyższymi uprawnieniami, uczynił go lukratywnym celem cyberprzestępców chcących wdrożyć bootkity i implanty oprogramowania sprzętowego, które mogą obejść mechanizmy bezpieczeństwa i zachować trwałość bez wykrycia.

Oznacza to również, że luki wykryte w oprogramowaniu sprzętowym UEFI mogą stanowić poważne ryzyko dla łańcucha dostaw z powodu możliwego wpływu na wiele różnych produktów i dostawców jednocześnie. O ostatniej takiej luce pisaliśmy w zeszłym roku tutaj i dotyczyła ona kodu TPM w procesorach INTEL.

Nowe zagrożenie bezpieczeństwa w UEFI

Luka występuje w aplikacji UEFI podpisanej certyfikatem „Microsoft Corporation UEFI CA 2011”. Jej wykorzystanie pozwala na uruchomienie niezaufanego kodu podczas startu systemu, co stwarza możliwość wdrożenia złośliwych bootkitów UEFI, takich jak Bootkitty czy BlackLotus. Atak może mieć miejsce nawet w systemach z włączonym UEFI Secure Boot, niezależnie od używanego systemu operacyjnego.

„Luka w zabezpieczeniach jest spowodowana użyciem niestandardowego programu ładującego PE zamiast standardowych i bezpiecznych funkcji UEFI LoadImage i StartImage. W rezultacie aplikacja umożliwia załadowanie dowolnego pliku binarnego UEFI – nawet niepodpisanego – ze specjalnie spreparowanego pliku o nazwie cloak.dat podczas uruchamiania systemu, niezależnie od stanu UEFI Secure Boot”– piszą badacze ESET.

Zgodnie z raportem ESET wykorzystanie luki CVE-2024-7344 pozwala atakującym na zastąpienie legalnych plików binarnych programu ładującego złośliwymi wersjami na partycji systemowej EFI (ESP).

Dotknięte oprogramowanie i dostawcy

Podatna na atak aplikacja UEFI jest zintegrowana z wieloma pakietami oprogramowania do odzyskiwania systemu w czasie rzeczywistym, opracowanymi przez różnych dostawców. Wśród nich znajdują się m.in. Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. oraz Signal Computer GmbH.

Podatne wersje produktów to:

• Howyar SysReturn (wersje przed 10.2.023–20240919)
• Greenware GreenGuard (wersje przed 10.2.023-20240927)
• Radix SmartRecovery (wersje przed 11.2.023-20240927)
• Sanfong EZ-back System (wersje przed 10.3.024-20241127)
• WASAY eRecoveryRX (wersje przed 8.4.022-20241127)
• CES NeoImpact (wersje przed 10.1.024-20241127)
• SignalComputer HDD King (wersje przed 10.3.021-20241127)

Narażone na atak są również wszystkie systemy UEFI z włączonym podpisywaniem UEFI przez Microsoft (komputery z systemem Windows 11 Secured-core powinny mieć tę opcję domyślnie wyłączoną).

Wykorzystanie luki CVE-2024-7344 – demo

Poniższy film przedstawia PoC demonstrujący wykorzystanie luki w zabezpieczeniach na systemie z włączoną funkcją UEFI Secure Boot.

Przy okazji warto wspomnieć, że wykorzystanie tej luki nie ogranicza się jedynie do systemów z zainstalowanym oprogramowaniem do odzyskiwania danych. Atakujący mogą wprowadzić własną kopię podatnego pliku binarnego na dowolnym systemie UEFI, który posiada zarejestrowany certyfikat UEFI firmy innej niż Microsoft. Jednak aby wdrożyć podatne i złośliwe pliki na partycję systemu EFI, wymagane są podwyższone uprawnienia (administrator lokalny w systemie Windows lub root w systemie Linux).

Jak się zabezpieczyć?

Badacze z ESET zgłosili problem do CERT/CC w czerwcu 2024 roku, ten zaś skontaktował się z odpowiednimi dostawcami, którzy naprawili wymienione wyżej produkty. Microsoft usunął podatne pliki binarne w ramach Patch Tuesday w styczniu 2025.

Luka może zostać złagodzona poprzez zastosowanie najnowszych aktualizacji UEFI firmy Microsoft. Systemy Windows powinny zostać zaktualizowane automatycznie. Szczegóły dotyczące luki CVE-2024-7344 są dostępne na stronie firmy Microsoft tutaj. W przypadku systemów Linux aktualizacje powinny być dostępne za pośrednictwem usługi Linux Vendor Firmware Service.