1 月 19 日消息,安全研究人員發現了一種新型 UEFI 漏洞,該漏洞通過多款系統恢復工具傳播,,該漏洞使攻擊者能夠繞過安全啟動(Secure Boot)機制,并部署對操作系統隱形的引導工具包(bootkit)。微軟已將該漏洞正式標記為 CVE-2024-7344。
據 Bleeping Computer 報道,該漏洞的罪魁禍首來自一款客戶 PE 加載程序(PE loader),該程序允許加載任何 UEFI 二進制文件,包括未簽名的文件。這是由于該漏洞并未依賴 LoadImage 和 StartImage 等受信任的服務。攻擊者可以通過替換 EFI 分區中應用程序的默認操作系統引導程序,植入包含簡單加密 XOR PE 映像的易受攻擊版本。一旦安裝成功,受感染系統將使用 XOR PE 映像中的惡意數據啟動。
由于該漏洞完全繞過了安全啟動機制并在 UEFI 級別運行,軟件級別的殺毒軟件和安全措施對此類攻擊束手無策。即使重新安裝操作系統,也無法徹底清除這一威脅。
據悉,多款第三方開發者開發的系統恢復工具利用了這一新漏洞。這些 UEFI 應用程序主要用于系統恢復、磁盤維護或備份,受影響的工具包括 Howyar SysReturn、Greenware GreenGuard、Radix SmartRecovery 等。
ESET 安全研究人員已發現以下受影響軟件產品:
-
Howyar SysReturn(10.2.023_20240919 之前版本)
-
Greenware GreenGuard(10.2.023-20240927 之前版本)
-
Radix SmartRecovery(11.2.023-20240927 之前版本)
-
Sanfong EZ-back System(10.3.024-20241127 之前版本)
-
WASAY eRecoveryRX(8.4.022-20241127 之前版本)
-
CES NeoImpact(10.1.024-20241127 之前版本)
-
SignalComputer HDD King(10.3.021-20241127 之前版本)
值得慶幸的是,微軟和 ESET 已采取措施保護用戶免受該漏洞的影響。IT之家注意到,ESET 已聯系相關供應商以解決安全問題,而微軟在本周的“補丁星期二”更新中,撤銷了受影響軟件的證書。
如果你正在使用上述任何軟件,建議立即安裝最新的 Windows 更新,并將相關軟件升級至修復該漏洞的最新版本,以確保系統安全。