ESET ha scoperto – e risolto – una vulnerabilità che coinvolge gran parte dei sistemi basati su UEFI, un bug che riesce ad aggirare il Secure Boot UEFI. Denominato CVE-2024-7344, questo bug è stato rilevato in un’applicazione UEFI firmata dal certificato di terze parti “Microsoft Corporation UEFI CA 2011”. Lo sfruttamento della vulnerabilità può portare all’esecuzione di codice non attendibile durante l’avvio del sistema. Questo permette a potenziali attaccanti di installare bootkit UEFI malevoli (come Bootkitty o BlackLotus) anche su sistemi con il Secure Boot UEFI abilitato, indipendentemente dal sistema operativo installato.
Problema risolto!
ESET ha segnalato la scoperta al Cert Coordination Center (Cert /CC) nel giugno 2024, che è riuscito a contattare i provider interessati. Il problema è stato ora risolto nei prodotti coinvolti e i file eseguibili vulnerabili sono stati revocati da Microsoft nell’aggiornamento del 14 gennaio scorso. L’applicazione UEFI colpita è parte di diverse suite di ripristino del sistema in tempo reale. Le suite sono state sviluppate da Howyar Technologies, Greenware Technologies, Radix Technologies, SANFONG, Wasay Software Technology, Computer Education System e Signal Computer.
Per ESET non esistono barriere impenetrabili
Martin Smolár, ricercatore ESET che ha scoperto la vulnerabilità Il numero di vulnerabilità UEFI scoperte negli ultimi anni e le difficoltà nel correggerle o revocare gli eseguibili in tempi ragionevoli dimostrano che anche una funzione essenziale come il Secure Boot UEFI non dovrebbe essere considerata una barriera impenetrabile. Tuttavia, ciò che ci preoccupa maggiormente in merito a questa vulnerabilità non è solo il tempo impiegato per correggerla e revocarla, relativamente breve rispetto a casi simili. Preoccupa infatti che non sia la prima volta che viene scoperto un eseguibile UEFI firmato ma chiaramente non sicuro. Questo solleva dubbi sulla diffusione di queste tecniche tra i vendor di software UEFI di terze parti e su quanti altri bootloader simili, seppur oscuri, ma firmati, potrebbero esistere.
ESET: attenzione all’uso di loader PE personalizzati
Lo sfruttamento di questo bug non è limitato ai sistemi con un software di ripristino vulnerabile installato. Questo perché gli attaccanti possono utilizzare una propria copia del codice vulnerabile su qualsiasi sistema UEFI con il certificato di terze parti di Microsoft abilitato. Inoltre, sono necessari privilegi elevati per inserire i file vulnerabili e malevoli nella partizione EFI del sistema (amministratore locale su Windows; root su Linux). La vulnerabilità è causata dall’uso di un loader PE personalizzato invece di utilizzare le funzioni standard e sicure UEFI LoadImage e StartImage.
Windowse Linux: cosa fare
Tutti i sistemi UEFI con firma di terze parti abilitata sono interessati (i PC Secured-core con Windows 11 dovrebbero avere questa opzione disabilitata di default). La vulnerabilità può essere mitigata applicando le ultime revoche UEFI di Microsoft. I sistemi Windows dovrebbero aggiornarsi automaticamente. Per i sistemi Linux, gli aggiornamenti dovrebbero essere forniti tramite il Linux Vendor Firmware Service.
