L’exploit di questa vulnerabilità consente l’esecuzione di codice non affidabile durante il boot del sistema, permettendo l’installazione di bootkit UEFI dannosi. Grazie all’intervento di ESET il problema è stato risolto con l’aggiornamento Microsoft del 14 gennaio
I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una vulnerabilità che interessa la maggior parte dei sistemi basati su UEFI e che consente di aggirare il Secure Boot UEFI. Questo bug, denominato CVE-2024-7344, è stato rilevato in un’applicazione UEFI firmata dal certificato di terze parti “Microsoft Corporation UEFI CA 2011”. Lo sfruttamento della vulnerabilità può portare all’esecuzione di codice non attendibile durante l’avvio del sistema, consentendo a potenziali attaccanti di installare facilmente bootkit UEFI malevoli (come Bootkitty o BlackLotus) anche su sistemi con il Secure Boot UEFI abilitato, indipendentemente dal sistema operativo installato.
ESET ha segnalato la scoperta al CERT Coordination Center (CERT/CC) nel giugno 2024, che è riuscito a contattare i provider interessati. Il problema è stato ora risolto nei prodotti coinvolti e i file eseguibili vulnerabili sono stati revocati da Microsoft nell’aggiornamento del 14 gennaio scorso.
L’applicazione UEFI colpita è parte di diverse suite di ripristino del sistema in tempo reale sviluppate da Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. e Signal Computer GmbH.
“Il numero di vulnerabilità UEFI scoperte negli ultimi anni e le difficoltà nel correggerle o revocare i gli eseguibili in tempi ragionevoli dimostrano che persino una funzione essenziale come il Secure Boot UEFI non dovrebbe essere considerata una barriera impenetrabile,” afferma Martin Smolár, ricercatore di ESET che ha scoperto la vulnerabilità. “Tuttavia, ciò che ci preoccupa maggiormente in merito a questa vulnerabilità non è il tempo impiegato per correggerla e revocarla, che è stato relativamente breve rispetto a casi simili, ma il fatto che non è la prima volta che viene scoperto un eseguibile UEFI firmato ma chiaramente non sicuro. Questo solleva dubbi sulla diffusione di queste tecniche tra i vendor di software UEFI di terze parti e su quanti altri bootloader simili, seppur oscuri, ma firmati, potrebbero esistere”.
Lo sfruttamento di questo bug non è limitato ai sistemi con un software di ripristino vulnerabile installato, poiché gli attaccanti possono utilizzare una propria copia del codice vulnerabile su qualsiasi sistema UEFI con il certificato di terze parti di Microsoft abilitato. Inoltre, sono necessari privilegi elevati per inserire i file vulnerabili e malevoli nella partizione EFI del sistema (amministratore locale su Windows; root su Linux). La vulnerabilità è causata dall’uso di un loader PE personalizzato invece di utilizzare le funzioni standard e sicure UEFI LoadImage e StartImage. Tutti i sistemi UEFI con firma di terze parti abilitata sono interessati (i PC Secured-core con Windows 11 dovrebbero avere questa opzione disabilitata di default).
La vulnerabilità può essere mitigata applicando le ultime revoche UEFI di Microsoft. I sistemi Windows dovrebbero aggiornarsi automaticamente. L’avviso di Microsoft relativo alla vulnerabilità CVE-2024-7344 è disponibile qui. Per i sistemi Linux, gli aggiornamenti dovrebbero essere forniti tramite il Linux Vendor Firmware Service.
Per un’analisi più dettagliata e una spiegazione tecnica della vulnerabilità UEFI, consultare il più recente post del blog di ESET Research: “Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344” su WeLiveSecurity.com e seguire ESET Research su Twitter (ora X) per aggiornamenti sulle ultime novità della ricerca ESET.
