הבוטקיטים חוגגים: UEFI Secure Boot התגלה כלא כל כך מאובטח

חוקרי אבטחה מחברת ESET חשפו לאחרונה פגיעות אבטחה חמורה, CVE-2024-7344, המאפשרת לעקוף את מנגנון האבטחה UEFI Secure Boot ברוב המערכות מבוססות UEFI. הפגיעות נמצאה בתוך אפליקציית UEFI שנחתמה על ידי חברת מיקרוסופט, דבר המאפשר להאקרים להריץ קוד זדוני במהלך עליית המערכת, גם כאשר Secure Boot מופעל.

האפליקציה הפגיעה, reloader.efi, היא חלק מתוכנות שחזור מערכת בזמן אמת, שפותחו על ידי מספר חברות שונות, ביניהן: Howyar Technologies, Greenware Technologies, Radix Technologies, Sanfong Inc., Wasay Software Technology, Computer Education System, ו-Signal Computer GmbH. הפירצה נובעת משימוש בטוען PE מותאם אישית במקום השימוש בפונקציות UEFI הסטנדרטיות, LoadImage ו-StartImage.

כתוצאה מכך, האפליקציה מאפשרת טעינה של כל קובץ UEFI בינארי, גם אם הוא לא חתום, מקובץ בשם "cloak.dat" במהלך עליית המערכת, ובכך עוקפת את מנגנון UEFI Secure Boot. פגיעות זו פותחת פתח לתוקפים להטמיע בקלות נוזקות UEFI Bootkit, כמו Bootkitty או BlackLotus, על כל מערכת, ללא קשר למערכת ההפעלה המותקנת.

חוקרי ESET דיווחו על הממצאים למרכז התיאום CERT/CC, שעזר לתאם את תהליך הגילוי והתיקון. החברות המושפעות הוציאו עדכונים למוצריהן, ומיקרוסופט ביטלה את האישורים הדיגיטליים של התוכנות הפגיעות בעדכון האבטחה של 14 בינואר 2025.

על פי חוקרי ESET, התוקפים יכולים לנצל את הפרצה על ידי החלפת טוען המערכת ההפעלה המקורי בקובץ reloader.efi הפגיע, והעתקת קובץ cloak.dat זדוני לאחת התיקיות במחיצת המערכת EFI. במהלך עליית המערכת הבאה, קוד זדוני יופעל וייתן לתוקפים שליטה מלאה על המערכת.

למרות שהפגיעות תוקנה על ידי ספקי התוכנה, ESET מדגישה את החשיבות של מעקב אחר חתימות דיגיטליות של אפליקציות UEFI. בנוסף הם מעודדים שימוש באמצעי הגנה נוספים, כגון גישה מנוהלת לקבצים במחיצת EFI, התאמה אישית של Secure Boot ואימות מרחוק עם TPM, כדי לזהות שינויים לא מורשים במהלך העלייה.

בנוסף, הדיווח של ESET מציף שוב את השאלה כיצד אפליקציות UEFI לא מאובטחות כאלו מצליחות לעבור את תהליך האישור של מיקרוסופט. ב-ESET הביעו תקווה שמיקרוסופט תגביר את השקיפות של תהליך אישור האפליקציות של צד שלישי, כדי למנוע מקרים דומים בעתיד, במיוחד עם השקת אישורי UEFI חדשים.