Falha permite contornar UEFI Secure Boot e instalar bootkits indetectáveis
Foi descoberta uma vulnerabilidade, identificada como CVE-2024-7344, que permite a instalação de bootkits indetectáveis mesmo em sistemas com o UEFI Secure Boot activado. O problema está numa aplicação assinada pela Microsoft e usada em várias ferramentas de recuperação, deixando os sistemas em risco. Uma vez que os bootkits são executados antes do arranque do próprio sistema operativo, tornam-se extremamente perigosos, sendo de difícil detecção e resistindo às tácticas habituais de limpeza como a reinstalação do sistema operativo. A falha está num processo inseguro do PE loader da aplicação, que ignora os protocolos de validação do Secure Boot. Em vez de usar serviços seguros e recomendados, como o "LoadImage" e "StartImage", este loader decifra e executa binários com implementações próprias. Atacantes podem tirar partido desta falha, substituindo o loader do sistema por um vulnerável e introduzindo binários maliciosos. A ESET identificou várias ferramentas afectadas, incluindo o Howyar SysReturn, Greenware GreenGuard e outras, em versões lançadas antes do final de 2024. A Microsoft revogou os certificados das aplicações vulneráveis na actualização de 14 de Janeiro de 2025, o que ajudar a minimizar o impacto da falha nos sistemas actualizados. Tendo em conta o factor altamente atractivo dos bootkits para os atacantes, é fortemente recomendado que se façam as actualizações quanto antes, já que é extremamente provável que em breve comece a surgir malware e spyware que tente tirar partido desta falha nos sistemas desactualizados.
O problema está numa aplicação assinada pela Microsoft e usada em várias ferramentas de recuperação, deixando os sistemas em risco. Uma vez que os bootkits são executados antes do arranque do próprio sistema operativo, tornam-se extremamente perigosos, sendo de difícil detecção e resistindo às tácticas habituais de limpeza como a reinstalação do sistema operativo.
A falha está num processo inseguro do PE loader da aplicação, que ignora os protocolos de validação do Secure Boot. Em vez de usar serviços seguros e recomendados, como o "LoadImage" e "StartImage", este loader decifra e executa binários com implementações próprias. Atacantes podem tirar partido desta falha, substituindo o loader do sistema por um vulnerável e introduzindo binários maliciosos.
A ESET identificou várias ferramentas afectadas, incluindo o Howyar SysReturn, Greenware GreenGuard e outras, em versões lançadas antes do final de 2024. A Microsoft revogou os certificados das aplicações vulneráveis na actualização de 14 de Janeiro de 2025, o que ajudar a minimizar o impacto da falha nos sistemas actualizados.
Tendo em conta o factor altamente atractivo dos bootkits para os atacantes, é fortemente recomendado que se façam as actualizações quanto antes, já que é extremamente provável que em breve comece a surgir malware e spyware que tente tirar partido desta falha nos sistemas desactualizados.
Qual a Sua Reação?