Redazione RHC : 17 Gennaio 2025 15:21
Una vulnerabilità UEFI Secure Boot bypass (CVE-2024-7344) associata a un’applicazione firmata Microsoft può essere utilizzata per installare bootkit nonostante la protezione Secure Boot sia abilitata. L’applicazione UEFI vulnerabile viene utilizzata in diversi strumenti di ripristino del sistema di terze parti.
Il problema è dovuto al fatto che l’applicazione utilizza un bootloader PE personalizzato, che consente di caricare eventuali binari UEFI, anche se non sono firmati. In genere, le applicazioni UEFI si basano su LoadImage e StartImage, che controllano i file binari tramite il database di fiducia (db) e il database di revoca (dbx). Tuttavia, l’applicazione vulnerabile non esegue questa operazione.
In questo contesto, reloader.efi decodifica “manualmente” e carica in memoria i file binari da cloak.dat, che contiene l’immagine PE crittografata XOR. Di conseguenza, un utente malintenzionato può sostituire il bootloader del sistema operativo standard nella partizione EFI con il vulnerabile reloader.efi e inserire il dannoso cloak.dat. All’avvio del sistema, un bootloader personalizzato decodificherà ed eseguirà il file binario dannoso senza controllare il Secure Boot.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
È stato segnalato che la vulnerabilità interessa le applicazioni UEFI utilizzate per il ripristino del sistema, la manutenzione del disco e il backup. Come scrivono gli analisti CVE-2024-7344/">di ESET, i seguenti prodotti sono vulnerabili:
Viene sottolineato che anche se questi programmi non sono installati sul computer preso di mira, gli aggressori possono comunque sfruttare CVE-2024-7344 distribuendo separatamente il vulnerabile reloader.efi. Si consiglia agli utenti di questi programmi di aggiornarli alle versioni più recenti il prima possibile.
“Ora sorge la domanda in che misura tali metodi non sicuri siano diffusi tra i produttori di software UEFI di terze parti e quanti altri bootloader strani ma firmati possano esistere”, scrivono gli esperti di ESET. L’azienda ha pubblicato un video che mostra come la vulnerabilità può essere sfruttata anche su un sistema con Secure Boot abilitato.
Il problema è stato scoperto l’8 luglio 2024, dopodiché ESET ha segnalato l’informazione al Centro di coordinamento CERT (CERT/CC). Attualmente, i fornitori di software hanno già rilasciato patch e Microsoft ha revocato i certificati compromessi e CVE-2024-7344 come parte del Patch Tuesday di gennaio.
RedazioneNel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...
Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...
La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...
Con la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...
