ESET компаниясы – ақпараттық қауіпсіздік саласындағы көшбасшы – киберқылмыскерлерге UEFI Secure Boot қорғау механизмін айналып өтіп, көптеген UEFI негізіндегі жүйелерге әсер ететін осалдықты тапты. Бұл осалдықты қолдану жүйені жүктеу кезінде қауіпті кодтың орындалуына, әлеуетті қаскүнемдерге зиянды құрамдастарды оңай орнатуға алып келеді (мысалы, Bootkitty немесе BlackLotus буткиттері). Бұл UEFI Secure Boot механизмі қосылып тұрған жүйелерінде де болуы мүмкін және орнатылған операциялық жүйеге байланысты емес.
CVE-2024-7344 осалдығы UEFI «Microsoft Corporation UEFI CA 2011» үшінші тарап сертификатымен қол қойылып, UEFI құрамдасында табылды. CERT (CERT/CC) Үйлестіру орталығына ESET мамандары нәтижелер туралы 2024 жылдың маусымында мәлімет бергеннен соң, тиісті жеткізушілермен сәтті байланысқа шықты. Қазіргі уақытта өнімдерге әсер еткен мәселе шешілді, ал ескі осал бинарлық файлдарды Microsoft 2025 жылдың 14 қаңтарындағы түзетуде қайтарып алды.
UEFI құрамдасы Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. және Signal Computer GmbH жасаған, жүйені нақты уақыт тәртібінде қалпына келтіруге арналған бірнеше бағдарламалық жасақтама дестесінен тұрады.
«Соңғы жылдары анықталған UEFI осалдықтарының саны және оларды түзету кезіндегі қателер немесе осал бинарлық файлдарды белгілі бір уақыт аралығында жаңарту UEFI Secure Boot сияқты маңызды функцияны өткізбейтін тосқауыл ретінде қарастыруға болмайтынын көрсетеді», – дейді, ESET зерттеушісі, Мартин Смолар. – Алайда, қолтаңбасы бар, айқын қауіпті UEFI бинарлық файлының алғаш рет анықталуы емес екені айқын алаңдаушылық тудыратын факт. Сондықтан, жазылымдағы белгісіз жүктеушілердің қаншасы бар екендігі және UEFI бағдарламалық жасақтамасының үшінші тарап жеткізішулері арасында осындай аса қауіпті тәсілдердің қаншалықты таралғаны туралы сұрақ туындайды».
Бұл осалдықты пайдалану тек қалпына келтіру үшін орнатылған бағдарламалық жасақтамамен шектелмейді, өйткені қаскүнемдер осалданған бинарлық файлдардың көшірмесін үшінші тарап өндірушісінің тіркелген UEFI сертификатын пайдаланып, кез келген UEFI жүйесіне тасымалдауы мүмкін. Сонымен қатар, UEFI жүйелік бөлімінде осал және зиянды файлдарды орнату үшін айрықша құқықтар талап етіледі (Windows жүйесінде жергілікті әкімші; Linux-те root). Осалдық UEFI стандартты және қауіпсіз LoadImage және StartImage функцияларының орнына РЕ арнайы жүктеушісін пайдалануына байланысты. Бұл Microsoft UEFI үшінші тарап қолтаңбасы қосылған барлық UEFI жүйелеріне әсер етеді.
Microsoft ұсынған UEFI соңғы жаңартуларын қолданып, бұл осалдықты пайдалану қатерін барынша азайтуға болады. Microsoft жүйелері автоматты түрде жаңартылуы керек. CVE-2024-7344 осалдығы туралы Microsoft кеңестерін мына сілтемеден табуға болады. Ал Linux жаңартулары Linux Vendor Firmware Service арқылы қолжетімді.
Осалдық туралы толық зерттеуді жан-жақты оқыңыз.