Η Microsoft επιδιορθώνει τα Windows για την εξάλειψη της απειλής παρακάμψεως του Secure Boot. Για επτά μήνες—και πιθανώς περισσότερο—ένα πρότυπο βιομηχανίας που προστατεύει τις συσκευές Windows από μολύνσεις firmware μπορούσε να παρακαμφθεί με μια απλή τεχνική. Την Τρίτη, η Microsoft επιτέλους διόρθωσε την ευπάθεια. Η κατάσταση των συστημάτων Linux παραμένει ασαφής.
Η Microsoft επιδιορθώνει τα Windows για την εξάλειψη της απειλής παρακάμψεως του Secure Boot
Η ευπάθεια, που έχει την αναφορά CVE-2024-7344, επέτρεπε σε επιτιθέμενους με προνομιακή πρόσβαση σε μια συσκευή να εκτελέσουν κακόβουλο firmware κατά την εκκίνηση. Τέτοιου είδους επιθέσεις είναι εξαιρετικά επικίνδυνες, καθώς οι μολύνσεις εντοπίζονται στο firmware. Πράμα που σημαίνει ότι εκτελείται πριν φορτωθεί το λειτουργικό σύστημα Windows ή Linux. Αυτή η στρατηγική θέση επιτρέπει στο κακόβουλο λογισμικό να αποφεύγει την ανίχνευση και να επιβιώνει ακόμη και μετά από επαναδιαμόρφωση των σκληρών δίσκων. Το προκύπτον “bootkit” αποκτά έλεγχο της εκκίνησης του λειτουργικού συστήματος.
Το Secure Boot λειτουργεί από το 2012 και έχει σχεδιαστεί για την αποτροπή τέτοιων επιθέσεων. Δημιουργεί μια αλυσίδα εμπιστοσύνης που συνδέει κάθε αρχείο που φορτώνεται. Κατά την εκκίνηση, το Secure Boot επαληθεύει ψηφιακές υπογραφές firmware και του bootloader, διασφαλίζοντας ότι δεν έχουν παραβιαστεί. Το Secure Boot είναι ενσωματωμένο στο UEFI (Unified Extensible Firmware Interface), τον διάδοχο του BIOS, που χρησιμοποιείται στις σύγχρονες συσκευές που τρέχουν Windows και Linux.
Μια υπογραφή UEFI εφαρμογής “κρυμμένη”
Ο ερευνητής Martin Smolár από την εταιρεία ασφαλείας ESET εντόπισε πέρυσι κάτι ανησυχητικό στο SysReturn, μια σουίτα ανάκτησης συστήματος της εταιρείας Howyar Technologies. Μέσα στον κώδικα, βρήκε μια εφαρμογή UEFI με όνομα reloader.efi, η οποία είχε ψηφιακή υπογραφή, παρότι δεν πληρούσε τους κανόνες ασφαλείας.
Αντί να χρησιμοποιεί τις καθιερωμένες λειτουργίες του UEFI για την εκκίνηση, η reloader.efi χρησιμοποιούσε έναν προσαρμοσμένο φορτωτή PE (Portable Executable), παρακάμπτοντας τους απαραίτητους ελέγχους. Η ευπάθεια επηρέαζε επίσης λογισμικό ανάκτησης από άλλους έξι προμηθευτές:
- Howyar SysReturn πριν από την έκδοση 10.2.023_20240919
- Greenware GreenGuard πριν από την έκδοση 10.2.023-20240927
- Radix SmartRecovery πριν από την έκδοση 11.2.023-20240927
- Sanfong EZ-back System πριν από την έκδοση 10.3.024-20241127
- WASAY eRecoveryRX πριν από την έκδοση 8.4.022-20241127
- CES NeoImpact πριν από την έκδοση 10.1.024-20241127
- SignalComputer HDD King πριν από την έκδοση 10.3.021-20241127
Οι επιτιθέμενοι μπορούσαν να εγκαταστήσουν το reloader.efi σε συσκευές Windows, χρησιμοποιώντας την ψηφιακή υπογραφή για να φορτώσουν κακόβουλο firmware κατά την εκκίνηση. Την Τρίτη, η Microsoft αφαίρεσε την υπογραφή, εξουδετερώνοντας την απειλή.
Ερωτήματα για την ασφάλεια τρίτων UEFI εφαρμογών
Το 2022, η εταιρεία Eclypsium αποκάλυψε τρεις οδηγούς λογισμικού, υπογεγραμμένους από τη Microsoft, που μπορούσαν να παρακάμψουν το Secure Boot. Σε ανάρτησή του, ο Smolár έγραψε:
“Αυτό εγείρει ερωτήματα σχετικά με το πόσο διαδεδομένη είναι η χρήση τέτοιων μη ασφαλών τεχνικών από τρίτους προμηθευτές UEFI λογισμικού, καθώς και πόσες άλλες επικίνδυνες, αλλά υπογεγραμμένες, εφαρμογές bootloaders υπάρχουν.”
Η ESET ανέφερε την ευπάθεια στο CERT Coordination Center τον περασμένο Ιούνιο. Ωστόσο, η Microsoft καθυστέρησε την επιδιόρθωση μέχρι τώρα. Εξακολουθεί να μην είναι σαφές αν τα συστήματα Linux επηρεάστηκαν ή αν έχει εκδοθεί σχετική επιδιόρθωση.
