Lỗ hổng UEFI mới bỏ qua khởi động an toàn, đưa PC vào bootkits

Một lỗ hổng UEFI mới đã được phát hiện, lây lan qua nhiều công cụ phục hồi hệ thống. Bleeping Computer cho biết lỗ hổng này cho phép kẻ tấn công vượt qua Secure Boot và triển khai bootkit có thể ẩn mình trước hệ điều hành. Microsoft đã chính thức đánh dấu lỗ hổng này với mã CVE-2024-7344, có tên là Howyar Taiwan Secure Boot Bypass. Nguyên nhân được cho là xuất phát từ một trình tải PE của khách hàng, cho phép bất kỳ nhị phân UEFI nào, kể cả những cái không được ký, có thể được tải.

Lỗ hổng này không dựa vào các dịch vụ tin cậy như LoadImage và StartImage, cho phép kẻ tấn công thay thế bootloader mặc định của hệ điều hành trên phân vùng EFI bằng một phiên bản dễ bị tổn thương chứa hình ảnh XOR PE mã hóa. Khi được cài đặt, hệ thống bị nhiễm sẽ khởi động với dữ liệu độc hại từ hình ảnh XOR PE. Do lỗ hổng này vượt qua hoàn toàn Secure Boot và hoạt động ở cấp UEFI, các biện pháp bảo mật và phần mềm diệt virus thông thường trở nên vô dụng trong việc ngăn chặn cuộc tấn công này.

Cài đặt lại hệ điều hành không thể loại bỏ cuộc tấn công này như một biện pháp đối phó. Nhiều công cụ phục hồi hệ thống bị cho là khai thác lỗ hổng mới từ nhiều nhà phát triển phần mềm bên thứ ba. Cụ thể, các ứng dụng UEFI được thiết kế để hỗ trợ phục hồi, bảo trì ổ đĩa hoặc sao lưu. Một số công cụ bị ảnh hưởng bao gồm Howyar SysReturn, Greenware GreenGuarde và Radix SmartRecovery.

Các sản phẩm phần mềm bị ảnh hưởng được phát hiện bởi các nhà nghiên cứu an ninh ESET bao gồm:

• Howyar SysReturn trước phiên bản 10.2.02320240919

• Greenware GreenGuard trước phiên bản 10.2.023-20240927

• Radix SmartRecovery trước phiên bản 11.2.023-20240927

• Sanfong EZ-back System trước phiên bản 10.3.024-20241127

• WASAY eRecoveryRX trước phiên bản 8.4.022-20241127

• CES NeoImpact trước phiên bản 10.1.024-20241127

• SignalComputer HDD King trước phiên bản 10.

Tin vui là Microsoft và ESET đã có biện pháp bảo vệ công chúng khỏi lỗ hổng này. ESET đã liên hệ với các nhà cung cấp bị ảnh hưởng để khắc phục vấn đề bảo mật. Microsoft đã thu hồi các chứng chỉ của phần mềm bị ảnh hưởng trong bản cập nhật Windows mới nhất tuần này. Nếu bạn đang sử dụng bất kỳ phần mềm nào trong số đó, hãy chú ý.

Trong trường hợp đó, bạn nên đảm bảo rằng hệ điều hành Windows của mình đã được cập nhật mới nhất, và cập nhật phần mềm đã đề cập lên phiên bản có thể khắc phục lỗ hổng UEFI.

Nguồn: www.tomshardware.com/pc-components/motherboards/new-uefi-vulnerability-bypasses-secure-boot-bootkits-stay-undetected-even-after-os-re-install