Эксперты по кибербезопасности бьют тревогу: обнаружена новая опасная уязвимость в системе загрузки UEFI, которая позволяет злоумышленникам полностью обходить защитный механизм Secure Boot. Особую тревогу вызывает то, что даже полная переустановка операционной системы не способна избавить компьютер от этой угрозы.
Что такое CVE-2024-7344 и почему это опасно
Новая уязвимость, получившая кодовое название CVE-2024-7344 Howyar Taiwan Secure Boot Bypass, связана с критическими недостатками в загрузчике PE. Злоумышленники могут использовать эту "дыру" для загрузки любых неудостоверенных UEFI файлов. Самое опасное то, что вредоносное программное обеспечение, установленное через эту уязвимость, становится практически невидимым для систем защиты.
Механизм атаки и его последствия
Киберпреступники получают возможность подменить стандартный загрузчик операционной системы на EFI-разделе своей вредоносной версией. Такая модификация содержит зашифрованное XOR PE изображение, которое полностью обходит систему Secure Boot. В результате, установленные антивирусные программы и другие средства защиты оказываются неэффективными против этой угрозы.
Популярные программы под угрозой
Особое беспокойство вызывает тот факт, что уязвимость активно эксплуатируется через широко известные инструменты восстановления системы. Среди скомпрометированных программ:
- Howyar SysReturn, популярный инструмент для восстановления системы;
- Greenware GreenGuard, используемый многими системными администраторами;
- Radix SmartRecovery, широко распространенное решение для резервного копирования.
Как защититься от угрозы
Microsoft и ESET уже отреагировали на обнаруженную уязвимость. Компании ввели срочные меры безопасности, включая отзыв сертификатов скомпрометированного программного обеспечения через последнее обновление Windows. Эксперты настоятельно рекомендуют пользователям немедленно обновить операционную систему Windows и установить последние версии всех используемых программ.
