L’ecosistema della sicurezza informatica è stato recentemente scosso dalla scoperta di una vulnerabilità critica, identificata come CVE-2024-7344, che consente di aggirare il meccanismo di Secure Boot implementato nei sistemi UEFI.
Segnalata dai ricercatori di ESET, questa falla rappresenta un pericolo significativo per la sicurezza dei sistemi, permettendo l’installazione di bootkit malevoli anche quando il Secure Boot è attivo.
Indice degli argomenti
Dettagli della vulnerabilità
La vulnerabilità si trova in un’applicazione UEFI firmata con il certificato “Microsoft Corporation UEFI CA 2011” e utilizzata in molteplici suite software di ripristino sviluppate da terze parti.
L’applicazione vulnerabile utilizza un loader PE personalizzato al posto delle funzioni standard UEFI come LoadImage e StartImage, bypassando così le verifiche dei binari contro i database di fiducia (db) e revoca (dbx).
Il processo sfruttato dall’attaccante prevede:
- Uso di un loader non sicuro: il file vulnerabile reloader.efi è in grado di caricare e decifrare un’immagine PE crittografata (archiviata in un file denominato cloak.dat), contenente codice dannoso.
- Installazione malevola: l’attaccante sostituisce il loader del sistema operativo predefinito nella partizione EFI con il binario vulnerabile, posizionando un file cloak.dat nella sua directory designata.
- Esecuzione di codice non firmato: durante l’avvio del sistema, il loader esegue il codice presente in cloak.dat, eludendo completamente i controlli di Secure Boot.
Inoltre, la vulnerabilità può essere sfruttata anche in assenza delle applicazioni affette sul sistema target, poiché gli aggressori devono semplicemente distribuire il binario vulnerabile reloader.efi.
Prodotti interessati
ESET ha segnalato che la vulnerabilità riguarda i seguenti prodotti e versioni:
- Howyar SysReturn: versioni precedenti alla 10.2.023_20240919
- Greenware GreenGuard: versioni precedenti alla 10.2.023-20240927
- Radix SmartRecovery: versioni precedenti alla 11.2.023-20240927
- Sanfong EZ-back System: versioni precedenti alla 10.3.024-20241127
- WASAY eRecoveryRX: versioni precedenti alla 8.4.022-20241127
- CES NeoImpact: versioni precedenti alla 10.1.024-20241127
- SignalComputer HDD King: versioni precedenti alla 10.3.021-20241127
Implicazioni di sicurezza
Sfruttando CVE-2024-7344, un attaccante può:
- Installare bootkit persistenti (come Bootkitty o BlackLotus) che operano a livello di firmware, eludendo le misure di sicurezza del sistema operativo e degli endpoint.
- Garantire la persistenza del malware anche dopo la reinstallazione del sistema operativo.
- Controllare il processo di avvio del sistema, ottenendo un accesso privilegiato.
Azioni correttive
ESET ha scoperto la vulnerabilità l’8 luglio 2024, notificandola immediatamente al CERT Coordination Center (CERT/CC) per un coordinamento efficace con i fornitori interessati.
Questi ultimi hanno successivamente distribuito aggiornamenti correttivi per le loro applicazioni.
Risoluzione da parte di Microsoft
Il 14 gennaio 2025, Microsoft ha revocato i certificati dei binari UEFI vulnerabili come parte del Patch Tuesday.
Gli aggiornamenti sono stati applicati automaticamente agli utenti di Windows, mentre per i sistemi Linux, gli aggiornamenti sono stati resi disponibili tramite il Linux Vendor Firmware Service (LVFS).
Per i responsabili IT, ESET ha condiviso script PowerShell per verificare manualmente l’applicazione delle mitigazioni:
Get-SecureBootUEFI -Name dbx
Raccomandazioni di sicurezza
- Gli utenti dei prodotti vulnerabili devono aggiornarli alle ultime versioni per eliminare il rischio.
- È fondamentale mantenere il firmware del sistema aggiornato con le ultime patch di sicurezza fornite dai produttori.
Conclusioni
La scoperta di CVE-2024-7344 mette in evidenza i rischi derivanti dalla complessità dei sistemi UEFI e dalla necessità di una progettazione sicura.
Mentre il Secure Boot è un meccanismo fondamentale per proteggere l’avvio dei sistemi, questa vulnerabilità dimostra che una sola applicazione non sicura può comprometterne l’efficacia.
Per prevenire attacchi simili in futuro, è essenziale che i fornitori adottino pratiche di sviluppo più rigide e che gli utenti finali siano proattivi nell’applicazione degli aggiornamenti di sicurezza.