Microsoft parche los Windows para eliminar las amenazas de bypass de arranque protegidas
2 min read
Durante los últimos siete meses y quizás un valor industrializado, que puede pasar por alto utilizando una técnica común mediante la protección de los dispositivos Windows de la infección por firmware. El martes, Microsoft finalmente parcheó la debilidad. El estado de los sistemas Linux aún no está claro.
Seguimiento de CVE -2024-7344, ha hecho posible que los atacantes de debilidad que ya obtuvieron acceso conveniente a cualquier dispositivo ejecutar el firmware contaminado durante el arranque. Estos tipos de ataques pueden ser especialmente dañinos porque la infección dentro del firmware está oculta en las primeras etapas antes de que se carguen las cargas de Windows o Linux. Esta ubicación estratégica ofrece el malware para evitar la defensa instalada por el sistema operativo y volver a formar los discos duros para sobrevivir. Luego, el sistema operativo “Bootkit” de resultados controla el inicio.
A partir de 2002, el arranque protegido está diseñado para evitar este tipo de ataques uniendo cada archivo cargado a la carga. Cada vez que se inicia un dispositivo, el arranque seguro verifica que cada firmware esté firmado digitalmente antes de permitir que el material se ejecute. Entonces es para garantizar que la firma digital del gestor de arranque del sistema operativo sea verificada por la política de arranque segura y para garantizar que no se haya realizado una interferencia con ella. El arranque seguro se publica para la interfaz de firmware extensible unificada en la UEFI, el sucesor del BIOS responsable de iniciar dispositivos modernos de Windows y Linux.
Se ha ocultado una aplicación UEFI de firma
El año pasado, el investigador Martin Smola notó algo curioso sobre Cesortern con Security Farm Asset, que estaba disponible en Hawa Technologies, Real Time Software Suite. Fue enterrado en el interior dentro de una aplicación UEFI codificada por XOR llamada Reloader.efi, que de alguna manera se firmó digitalmente después de que Microsoft pasó El proceso de revisión interna Para aplicaciones UEFI de tercera parte.
En lugar de solicitar a las funciones de UEFI que realicen el proceso de arranque seguro, en lugar de solicitar STARTIMAGE, Reloader.efi ha utilizado una personalización Cargador de educaciónEl Este cargador personalizado no realizó las verificaciones requeridas. Tan pronto como el Smoler excavó, descubrió que el recargador no solo estaba en el liderazgo del Hawir, sino que los otros seis proveedores también estaban presentes en el software de recuperación. La lista completa es: