✔Одобренные Microsoft UEFI-бутлоадеры могли обойти Secure Boot - «Новости»

16 августа 2022 567 Новости / Изображения / Преимущества стилей / Добавления стилей / Линии и рамки / Блог для вебмастеров 0

Исследователи напоминают, что Secure Boot является частью спецификации UEFI и призван защитить процесс загрузки ОС, чтобы в его рамках выполнялся только доверенный код, подписанный специальным сертификатом. Специалисты пишут, что сразу три загрузчика UEFI, одобренные Microsoft, имели уязвимости, позволяющие обойти Secure Boot и выполнить неподписанный код:

New Horizon Datasys Inc: CVE-2022-34302 (обход Secure Boot через кастомный установщик);

CryptoPro Secure Disk: CVE-2022-34303 (обход Secure Boot посредством UEFI Shell);

Eurosoft (UK) Ltd: CVE-2022-34301 (обход Secure Boot посредством UEFI Shell) .

В настоящее время Microsoft уже разработала и выпустила обновление KB5012170, которое устраняет проблемы в перечисленных загрузчиках. «Это обновление устраняет уязвимость, добавляя сигнатуры известных уязвимых модулей UEFI в DBX», — поясняют в Microsoft.

В отчете Eclypsium отмечается, что используя загрузчики Eurosoft и CryptoPro Secure Disk, злоумышленник может обойти Secure Boot, используя подписанные UEFI-шеллы (esdiags.efi и Shell_Full.efi). При этом подчеркивается, что использование этих уязвимостей можно было легко автоматизировать с помощью скриптов, хотя пользователи могли обратить внимание на эксплуатацию багов.

В случае с загрузчиком New Horizon Datasys атака была бы гораздо более незаметной для пользователей. «Этот загрузчик содержит встроенный обход Secure Boot, который оставляет Secure Boot включенным, но отключает проверки», — пишут эксперты. В итоге эксплуатация CVE-2022-34302 куда проще двух других багов и позволяет отключить Secure Boot, выполнив неподписанный код напрямую. Исследователи предупреждают, что эту проблему наверняка попытаются взять на вооружение хакеры.

Опубликованный CERT Университета Карнеги-Меллона бюллетень безопасности гласит, что код, выполняемый на ранних этапах загрузки, может «также обходить обычные средства защиты на основе ОС и EDR». Эксперты CERT приводят список из 23 поставщиков загрузчиков UEFI, и четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут).

Другие 20 поставщиков были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты. В этот список входят такие компании, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.

Эксперты из компании Eclypsium обнаружили, что ряд сторонних UEFI-бутлоадеров могут использоваться для обхода защиты UEFI Secure Boot, что позволяет злоумышленникам выполнять вредоносный код еще до загрузки операционной системы. Исследователи напоминают, что Secure Boot является частью спецификации UEFI и призван защитить процесс загрузки ОС, чтобы в его рамках выполнялся только доверенный код, подписанный специальным сертификатом. Специалисты пишут, что сразу три загрузчика UEFI, одобренные Microsoft, имели уязвимости, позволяющие обойти Secure Boot и выполнить неподписанный код: New Horizon Datasys Inc: CVE-2022-34302 (обход Secure Boot через кастомный установщик); CryptoPro Secure Disk: CVE-2022-34303 (обход Secure Boot посредством UEFI Shell); Eurosoft (UK) Ltd: CVE-2022-34301 (обход Secure Boot посредством UEFI Shell) . В настоящее время Microsoft уже разработала и выпустила обновление KB5012170, которое устраняет проблемы в перечисленных загрузчиках. «Это обновление устраняет уязвимость, добавляя сигнатуры известных уязвимых модулей UEFI в DBX», — поясняют в Microsoft. В отчете Eclypsium отмечается, что используя загрузчики Eurosoft и CryptoPro Secure Disk, злоумышленник может обойти Secure Boot, используя подписанные UEFI-шеллы (esdiags.efi и Shell_Full.efi). При этом подчеркивается, что использование этих уязвимостей можно было легко автоматизировать с помощью скриптов, хотя пользователи могли обратить внимание на эксплуатацию багов. В случае с загрузчиком New Horizon Datasys атака была бы гораздо более незаметной для пользователей. «Этот загрузчик содержит встроенный обход Secure Boot, который оставляет Secure Boot включенным, но отключает проверки», — пишут эксперты. В итоге эксплуатация CVE-2022-34302 куда проще двух других багов и позволяет отключить Secure Boot, выполнив неподписанный код напрямую. Исследователи предупреждают, что эту проблему наверняка попытаются взять на вооружение хакеры. Опубликованный CERT Университета Карнеги-Меллона бюллетень безопасности гласит, что код, выполняемый на ранних этапах загрузки, может «также обходить обычные средства защиты на основе ОС и EDR». Эксперты CERT приводят список из 23 поставщиков загрузчиков UEFI, и четкий статус доступен только для трех из них: Microsoft (затронут), Phoenix Technologies (не затронут) и Red Hat (не затронут). Другие 20 поставщиков были проинформированы о проблемах, но в настоящее время неизвестно, затронуты ли их продукты. В этот список входят такие компании, как Acer, AMD, American Megatrends, ASUSTeK, DELL, Google, Hewlett Packard Enterprise, HP, Lenovo, Toshiba и VAIO Corporation.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.