Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada que podría permitir omitir el mecanismo de arranque seguro en sistemas de interfaz de firmware extensible unificada (UEFI).
La vulnerabilidad, asignada al identificador CVE. CVE-2024-7344 (Puntuación CVSS: 6,7), reside en una aplicación UEFI firmada por el certificado UEFI de terceros “Microsoft Corporation UEFI CA 2011” de Microsoft, según un nuevo informe de ESET compartido con The Hacker News.
La explotación exitosa de la falla puede conducir a la ejecución de código no confiable durante el arranque del sistema, lo que permite a los atacantes implementar kits de arranque UEFI maliciosos en máquinas que tienen el arranque seguro activado, independientemente del sistema operativo instalado.
El arranque seguro es un estándar de seguridad del firmware que evita que se cargue malware cuando se inicia una computadora al garantizar que el dispositivo se inicie utilizando únicamente software en el que confíe el fabricante de equipos originales (OEM). la característica aprovecha firmas digitales para validar la autenticidad, fuente e integridad del código que se carga.
La aplicación UEFI afectada es parte de varios paquetes de software de recuperación del sistema en tiempo real desarrollados por Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. y Signal Computer GmbH. –
- Howyar SysReturn anterior a la versión 10.2.023_20240919
- Greenware GreenGuard antes de la versión 10.2.023-20240927
- Radix SmartRecovery anterior a la versión 11.2.023-20240927
- Sistema Sanfong EZ-back anterior a la versión 10.3.024-20241127
- WASAY eRecoveryRX antes de la versión 8.4.022-20241127
- CES NeoImpact antes de la versión 10.1.024-20241127
- SignalComputer HDD King anterior a la versión 10.3.021-20241127
“La vulnerabilidad se debe al uso de un cargador PE personalizado en lugar de utilizar las funciones UEFI estándar y seguras. Cargar imagen y Imagen inicial“, dijo el investigador de ESET Martin Smolár. “Como resultado, la aplicación permite la carga de cualquier binario UEFI, incluso uno sin firmar, desde un archivo especialmente diseñado llamado cloak.dat, durante el inicio del sistema, independientemente del estado de arranque seguro UEFI. “
Por lo tanto, un atacante que utilice CVE-2024-7344 como arma podría eludir las protecciones de arranque seguro UEFI y ejecutar código sin firmar durante el proceso de arranque en el contexto UEFI incluso antes de que se cargue el sistema operativo, otorgándole acceso encubierto y persistente al host.
“El código ejecutado en esta fase inicial de arranque puede persistir en el sistema, cargando potencialmente extensiones de kernel maliciosas que sobreviven tanto a los reinicios como a la reinstalación del sistema operativo”, dijo el Centro de Coordinación del CERT (CERT/CC) dicho. “Además, puede evadir la detección mediante medidas de seguridad basadas en el sistema operativo y de detección y respuesta de puntos finales (EDR)”.
Los actores malintencionados podrían ampliar aún más el alcance de la explotación al llevar su propia copia del binario vulnerable “reloader.efi” a cualquier sistema UEFI con el certificado UEFI de terceros de Microsoft inscrito. Sin embargo, se requieren privilegios elevados para implementar archivos vulnerables y maliciosos en la partición del sistema EFI: administrador local en Windows y root en Linux.
La empresa eslovaca de ciberseguridad dijo que reveló responsablemente los hallazgos al CERT/CC en junio de 2024, tras lo cual Howyar Technologies y sus socios abordaron el problema en los productos en cuestión. El 14 de enero de 2025, Microsoft revocó los archivos binarios antiguos y vulnerables como parte de su actualización del martes de parches.
Además de aplicar revocaciones UEFI, administrar el acceso a archivos ubicados en la partición del sistema EFI, Personalización de arranque seguroy atestación remota con un módulo de plataforma segura (TPM) son algunas de las otras formas de protegerse contra la explotación de cargadores de arranque UEFI firmados y vulnerables desconocidos y la implementación de kits de arranque UEFI.
“La cantidad de vulnerabilidades UEFI descubiertas en los últimos años y las fallas al parchearlas o revocar archivos binarios vulnerables dentro de un período de tiempo razonable muestra que incluso una característica tan esencial como UEFI Secure Boot no debe considerarse una barrera impenetrable”, dijo Smolár.
“Sin embargo, lo que más nos preocupa con respecto a la vulnerabilidad no es el tiempo que llevó arreglar y revocar el binario, que fue bastante bueno en comparación con casos similares, sino el hecho de que esta no es la primera vez que algo tan obvio Se ha descubierto un binario UEFI firmado y no seguro. Esto plantea dudas sobre qué tan común es el uso de tales técnicas inseguras entre los proveedores de software UEFI de terceros y cuántos otros cargadores de arranque similares, oscuros pero firmados, podrían existir”.
About the Author
