L’exploit di questa vulnerabilità consente l’esecuzione di codice non affidabile durante il boot del sistema, permettendo l’installazione di bootkit UEFI dannosi. Grazie all’intervento di ESET il problema è stato risolto con l’aggiornamento Microsoft del 14 gennaio.
Milano, 22 gennaio 2025 – I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto una vulnerabilità che interessa la maggior parte dei sistemi basati su UEFI e che consente di aggirare il Secure Boot UEFI. Questo bug, denominato CVE-2024-7344, è stato rilevato in un’applicazione UEFI firmata dal certificato di terze parti “Microsoft Corporation UEFI CA 2011”. Lo sfruttamento della vulnerabilità può portare all’esecuzione di codice non attendibile durante l’avvio del sistema, consentendo a potenziali attaccanti di installare facilmente bootkit UEFI malevoli (come Bootkitty o BlackLotus) anche su sistemi con il Secure Boot UEFI abilitato, indipendentemente dal sistema operativo installato.
ESET ha segnalato la scoperta al CERT Coordination Center (CERT/CC) nel giugno 2024, che è riuscito a contattare i provider interessati. Il problema è stato ora risolto nei prodotti coinvolti e i file eseguibili vulnerabili sono stati revocati da Microsoft nell’aggiornamento del 14 gennaio scorso.
L’applicazione UEFI colpita è parte di diverse suite di ripristino del sistema in tempo reale sviluppate da Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. e Signal Computer GmbH.
“Il numero di vulnerabilità UEFI scoperte negli ultimi anni e le difficoltà nel correggerle o revocare i gli eseguibili in tempi ragionevoli dimostrano che persino una funzione essenziale come il Secure Boot UEFI non dovrebbe essere considerata una barriera impenetrabile,” afferma Martin Smolár, ricercatore di ESET che ha scoperto la vulnerabilità. “Tuttavia, ciò che ci preoccupa maggiormente in merito a questa vulnerabilità non è il tempo impiegato per correggerla e revocarla, che è stato relativamente breve rispetto a casi simili, ma il fatto che non è la prima volta che viene scoperto un eseguibile UEFI firmato ma chiaramente non sicuro. Questo solleva dubbi sulla diffusione di queste tecniche tra i vendor di software UEFI di terze parti e su quanti altri bootloader simili, seppur oscuri, ma firmati, potrebbero esistere”.
Lo sfruttamento di questo bug non è limitato ai sistemi con un software di ripristino vulnerabile installato, poiché gli attaccanti possono utilizzare una propria copia del codice vulnerabile su qualsiasi sistema UEFI con il certificato di terze parti di Microsoft abilitato. Inoltre, sono necessari privilegi elevati per inserire i file vulnerabili e malevoli nella partizione EFI del sistema (amministratore locale su Windows; root su Linux). La vulnerabilità è causata dall’uso di un loader PE personalizzato invece di utilizzare le funzioni standard e sicure UEFI LoadImage e StartImage. Tutti i sistemi UEFI con firma di terze parti abilitata sono interessati (i PC Secured-core con Windows 11 dovrebbero avere questa opzione disabilitata di default).
La vulnerabilità può essere mitigata applicando le ultime revoche UEFI di Microsoft. I sistemi Windows dovrebbero aggiornarsi automaticamente. L’avviso di Microsoft relativo alla vulnerabilità CVE-2024-7344 è disponibile qui. Per i sistemi Linux, gli aggiornamenti dovrebbero essere forniti tramite il Linux Vendor Firmware Service.
Per un’analisi più dettagliata e una spiegazione tecnica della vulnerabilità UEFI, consultare il più recente post del blog di ESET Research: “Under the cloak of UEFI Secure Boot: Introducing CVE-2024-7344” su WeLiveSecurity.com e seguire ESET Research su Twitter (ora X) per aggiornamenti sulle ultime novità della ricerca ESET.
Tutti i marchi citati sono marchi commerciali o marchi registrati di proprietà delle rispettive aziende
A proposito di ESET
ESET® assicura una sicurezza digitale all’avanguardia per prevenire gli attacchi prima che si verifichino. Combinando la potenza dell’intelligenza artificiale e l’expertise umana, ESET è in grado di anticipare le minacce informatiche note ed emergenti, proteggendo le aziende, le infrastrutture strategiche e gli utenti finali. Che si tratti di protezione endpoint, cloud o mobile, le soluzioni e i servizi AI-native e cloud-first di ESET offrono prestazioni elevate e sono facili da usare. La tecnologia ESET include rilevamento e risposta robusti, crittografia ultra-sicura e autenticazione a più fattori. Con una protezione in tempo reale 24/7 e un solido supporto locale, le soluzioni ESET proteggono e monitorano in modo discreto i propri clienti, per mantenere gli utenti al sicuro ed evitare interruzioni alle attività aziendali. Un panorama digitale in continua evoluzione richiede un approccio progressivo alla sicurezza: ESET è impegnata in una ricerca di livello mondiale e in una potente intelligence sulle minacce, supportata da centri di ricerca e sviluppo e da una solida rete di partner globali. Per ulteriori informazioni, visitate www.eset.com o seguite ESET sui nuovi canali italiani di LinkedIn, Facebook e X.
