Уязвимость UEFI: Замена сертификатов как мера защиты

Изображение: www.welivesecurity.com
В свете обнаруженной уязвимости UEFI, исследователи кибербезопасности из компании ESET подчеркивают важность отзыва и замены сертификата Microsoft Windows Production PCA 2011 на Windows UEFI CA 2023. Это решение становится особенно актуальным в связи с угрозами, исходящими от загрузчиков, связанных с BlackLotus bootkit.
Обозначение уязвимости
Актуальная уязвимость, обозначенная как CVE-2024-7344, позволяет обойти защищенную загрузку UEFI в большинстве систем на базе UEFI. Это создает возможность выполнения ненадежного кода во время загрузки системы, что облегчает развертывание вредоносных загрузчиков UEFI.
Ключевые моменты исследования
- Уязвимость связана с приложением UEFI, подписанным сторонним сертификатом Microsoft UEFI CA 2011.
- Проблема затрагивает различные пакеты программного обеспечения для восстановления системы в режиме реального времени, разработанные несколькими компаниями.
- Корпорация Microsoft планирует отзыв уязвимых двоичных файлов в обновлении от 14 января 2025 года.
- Необходимость применения последних отзывов UEFI от Microsoft для устранения проблем с уязвимыми устройствами.
Выявление уязвимости
Дополнительные исследования показали, что уязвимый загрузчик reloader.efi не выполнял проверку целостности защищенной загрузки UEFI, что позволяет злоумышленникам выполнить атаку путем замены двоичного файла загрузчика ОС по умолчанию с использованием вредоносного UEFI-приложения. Для успешной атаки злоумышленникам требовались повышенные привилегии.
Рекомендации для обеспечения безопасности
Для предотвращения дальнейших атак, предлагаются следующие меры:
- Использование команд PowerShell для проверки наличия уязвимостей и состояния установки требуемых отзывов в системах Windows.
- Обновления для систем Linux должны быть доступны через службу прошивки поставщика Linux.
- Управление доступом к файлам в системном разделе EFI и настройка безопасной загрузки UEFI.
- Реализация удаленной проверки с помощью TPM на соответствие известным допустимым значениям.
Прозрачность и стандарты безопасности
Выявление предыдущих аналогичных уязвимостей вызывает обеспокоенность по поводу небезопасных методов в подписанных приложениях UEFI сторонних производителей. Эта ситуация подчеркивает необходимость обеспечения прозрачности при проверке подписи кода сторонними разработчиками UEFI.
Новое внедрение сертификатов UEFI корпорацией Microsoft открывает возможности для повышения прозрачности сторонней подписи UEFI и создания общих стандартов безопасности UEFI.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



