详细内容或原文请订阅后点击阅览

UEFI 安全启动的幌子下:介绍 CVE-2024-7344

2025年1月16日 10:00 33 Comments
X Twitter Instagram Mail

签名的 UEFI 应用程序允许绕过 UEFI 安全启动的故事

来源:WeLiveSecurity _恶意软件

ESET 研究人员发现了一个允许绕过 UEFI 安全启动的漏洞,该漏洞影响大多数基于 UEFI 的系统。该漏洞被分配为 CVE-2024-7344,存在于由 Microsoft 的 Microsoft Corporation UEFI CA 2011 第三方 UEFI 证书签名的 UEFI 应用程序中。利用此漏洞会导致在系统启动期间执行不受信任的代码,使潜在攻击者能够轻松部署恶意 UEFI 启动套件(例如 Bootkitty 或 BlackLotus),即使在启用了 UEFI 安全启动的系统上也是如此,无论安装的操作系统是什么。

Microsoft Corporation UEFI CA 2011 Bootkitty BlackLotus

受影响的 UEFI 应用程序是 Howyar Technologies Inc.、Greenware Technologies、Radix Technologies Ltd.、SANFONG Inc.、Wasay Software Technology Inc.、Computer Education System Inc. 和 Signal Computer GmbH 开发的几款实时系统恢复软件套件的一部分。以下是存在漏洞的软件产品列表:

    Howyar SysReturn 10.2.023_20240919 版本之前Greenware GreenGuard 10.2.023-20240927 版本之前Radix SmartRecovery 11.2.023-20240927 版本之前Sanfong EZ-back System 10.3.024-20241127 版本之前WASAY eRecoveryRX 8.4.022-20241127 版本之前CES NeoImpact 10.1.024-20241127 版本之前SignalComputer HDD King 10.3.021-20241127 版本之前
  • Howyar SysReturn 10.2.023_20240919 版本之前
    • 10.2.023_20240919
  • Greenware GreenGuard 10.2.023-20240927 之前的版本
    • 10.2.023-20240927
  • Radix SmartRecovery 11.2.023-20240927 之前的版本
    • 11.2.023-20240927
  • Sanfong EZ-back System 10.3.024-20241127 之前的版本
    • 10.3.024-20241127
  • WASAY eRecoveryRX 8.4.022-20241127 之前的版本
    • 8.4.022-20241127
  • CES NeoImpact 10.1.024-20241127 之前的版本
    • 10.1.024-20241127
  • SignalComputer HDD King 10.3.021-20241127 之前的版本
    • 10.3.021-20241127 LoadImage StartImage cloak.dat CERT 协调中心 th

    本博文要点:

    本博文要点: th

    协调披露时间表:

    协调披露时间表: db dbx
    利用 时间表 漏洞 操作系统 10.3 10.2 启动 023 恢复 实时系统 20241127 之前 研究人员 UEFI 应用程序 第三方 协调 版本 20240927 套件 恶意 导致 攻击者 披露 协调中心 Inc 024