Вразливість обходу UEFI Secure Boot (CVE-2024-7344), пов’язана з підписаною програмою Microsoft, може використовуватися для встановлення буткитів, незважаючи на включений захист Secure Boot. Вразлива UEFI-додаток застосовується у кількох сторонніх інструментах відновлення системи.

Проблема пов’язана з тим, що програма використовує кастомний PE-завантажувач, що дозволяє завантажувати будь-які UEFI-бінарники, навіть якщо ті не підписані. Зазвичай UEFI-додатки покладаються на LoadImage та StartImage, які перевіряють бінарники через trust database (db) та revocation database (dbx). Однак вразливий додаток цього не робить.

У цьому контексті reloader.efi «вручну» розшифровує та завантажує на згадку бінарники з cloak.dat, де міститься зашифрований XOR PE-образ. В результаті зловмисник може підмінити стандартний завантажувач ОС в розділі EFI на вразливий reloader.efi і підкласти шкідливий cloak.dat. При завантаженні системи такий кастомний завантажувач розшифрує та виконає шкідливий бінарник без перевірки Secure Boot.

Повідомляється, що ця вразливість стосується UEFI-програм, що використовуються для відновлення системи, обслуговування дисків і резервного копіювання. Як пишуть експерти, вразливі такі продукти:

-Howyar SysReturn (до версії 10.2.023_20240919);
-Greenware GreenGuard (до версії 10.2.023-20240927);
-Radix SmartRecovery (до версії 11.2.023-20240927);
-Sanfong EZ-back System (до версії 10.3.024-20241127);
-WASAY eRecoveryRX (до версії 8.4.022-20241127);
-CES NeoImpact (до версії 10.1.024-20241127);
-SignalComputer HDD King (до версії 10.3.021-20241127).

При цьому наголошується, що навіть якщо ці програми не встановлені на цільовій машині, зловмисники все одно можуть експлуатувати CVE-2024-7344 окремо розгорнувши вразливий reloader.efi.

Користувачам цих програм рекомендується оновитись до останніх версій якнайшвидше.