新型 UEFI 漏洞曝光：多款系統(tǒng)恢復(fù)工具受影響，微軟緊急應(yīng)對

IT之家 1 月 19 日消息，安全研究人員發(fā)現(xiàn)了一種新型 UEFI 漏洞，該漏洞通過多款系統(tǒng)恢復(fù)工具傳播，該漏洞使攻擊者能夠繞過安全啟動（Secure Boot）機(jī)制，并部署對操作系統(tǒng)隱形的引導(dǎo)工具包（bootkit）。微軟已將該漏洞正式標(biāo)記為 CVE-2024-7344。

據(jù) Bleeping Computer 報道，該漏洞的罪魁禍?zhǔn)讈碜砸豢羁蛻?PE 加載程序（PE loader），該程序允許加載任何 UEFI 二進(jìn)制文件，包括未簽名的文件。這是由于該漏洞并未依賴 LoadImage 和 StartImage 等受信任的服務(wù)。攻擊者可以通過替換 EFI 分區(qū)中應(yīng)用程序的默認(rèn)操作系統(tǒng)引導(dǎo)程序，植入包含簡單加密 XOR PE 映像的易受攻擊版本。一旦安裝成功，受感染系統(tǒng)將使用 XOR PE 映像中的惡意數(shù)據(jù)啟動。

由于該漏洞完全繞過了安全啟動機(jī)制并在 UEFI 級別運(yùn)行，軟件級別的殺毒軟件和安全措施對此類攻擊束手無策。即使重新安裝操作系統(tǒng)，也無法徹底清除這一威脅。

據(jù)悉，多款第三方開發(fā)者開發(fā)的系統(tǒng)恢復(fù)工具利用了這一新漏洞。這些 UEFI 應(yīng)用程序主要用于系統(tǒng)恢復(fù)、磁盤維護(hù)或備份，受影響的工具包括 Howyar SysReturn、Greenware GreenGuard、Radix SmartRecovery 等。

ESET 安全研究人員已發(fā)現(xiàn)以下受影響軟件產(chǎn)品：

• Howyar SysReturn（10.2.023_20240919 之前版本）

• Greenware GreenGuard（10.2.023-20240927 之前版本）

• Radix SmartRecovery（11.2.023-20240927 之前版本）

• Sanfong EZ-back System（10.3.024-20241127 之前版本）

• WASAY eRecoveryRX（8.4.022-20241127 之前版本）

• CES NeoImpact（10.1.024-20241127 之前版本）

• SignalComputer HDD King（10.3.021-20241127 之前版本）

值得慶幸的是，微軟和 ESET 已采取措施保護(hù)用戶免受該漏洞的影響。IT之家注意到，ESET 已聯(lián)系相關(guān)供應(yīng)商以解決安全問題，而微軟在本周的“補(bǔ)丁星期二”更新中，撤銷了受影響軟件的證書。

如果你正在使用上述任何軟件，建議立即安裝最新的 Windows 更新，并將相關(guān)軟件升級至修復(fù)該漏洞的最新版本，以確保系統(tǒng)安全。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。