Microsoft исправляет критическую уязвимость безопасной загрузки в Windows 11 спустя 7 месяцев

от

Microsoft прилагает все усилия для продвижения Windows 11, применяя напористые стратегии, такие как большие многостраничные всплывающие окна с рекламой, заполняющие весь экран, чтобы убедить пользователей Windows 10 перейти на обновление до предполагаемой даты окончания — 14 октября 2025 года. При этом, согласно отчету StatCounter за декабрь 2024 года, Windows 10 по-прежнему лидирует на рынке с впечатляющей долей 62,73%.

Некоторые пользователи не решаются переходить на Windows 11, поскольку Microsoft установила высокие стандарты для совместимых операционных систем, которые могут исключать устройства, в которых отсутствуют такие важные компоненты, как безопасная загрузка и доверенный платформенный модуль (TPM).

Хотя эти встроенные меры безопасности направлены на защиту Windows 11, уязвимость (CVE-2024-7344) используется киберпреступниками уже около семи месяцев, что потенциально подвергает систему вредоносным атакам. К счастью, Microsoft решила эту проблему безопасности, выпустив совсем недавно патч.

Проще говоря, эта уязвимость позволяла неавторизованным лицам проникнуть в устройство до его полного запуска и выполнить вредоносные действия. Примечательно, что безопасная загрузка является важным системным требованием для работы Windows 11, поскольку она предотвращает работу потенциально опасного запускаемого программного обеспечения во время процесса загрузки.

Как аналитик, я заметил, что хакеры часто начинают атаки на устройства еще до их загрузки. Эта стратегия позволяет им скрывать свою тактику в исходном состоянии системы, до загрузки Windows, что усложняет нам их обнаружение. Кроме того, такой подход делает вредоносное ПО менее уязвимым для встроенных механизмов защиты операционной системы.

Безопасность UEFI: что-то выиграешь, что-то проиграешь

Согласно отчету ArsTechnica, Мартин Смолар, эксперт по безопасности ESET, в прошлом году сделал неожиданную находку: приложению с цифровой подписью удалось обойти строгий ручной процесс проверки Microsoft для сторонних приложений UEFI. Это открытие произошло, когда SysReturn, программное обеспечение для восстановления системы в реальном времени от Howyar Technologies, успешно избежало строгого контроля. Далее Смолар сообщил, что приложение было скрыто под приложением UEFI с кодировкой XOR под названием reloader.efi.

Процедура проверки вручную использует LoadImage и StartImage UEFI для операции безопасной загрузки. Однако вместо использования стандартного загрузчика Microsoft во время этого процесса reloader.efi выбрал собственный загрузчик PE (формат переносимого исполняемого файла). Этот шаг позволил обойти проверку Microsoft и проигнорировать важные проверки безопасности. Более того, было обнаружено, что reloader.efi не является эксклюзивным программным обеспечением для восстановления системы Howyar Technologies. Фактически, он постоянно появлялся в других приложениях шести разных поставщиков, в том числе:

  • Howyar SysReturn до версии 10.2.023_20240919
  • Greenware GreenGuard до версии 10.2.023-20240927
  • Radix SmartRecovery до версии 11.2.023-20240927
  • Система Sanfong EZ-back до версии 10.3.024-20241127
  • WASAY eRecoveryRX до версии 8.4.022-20241127
  • CES NeoImpact до версии 10.1.024-20241127
  • SignalComputer HDD King до версии 10.3.021-20241127

Хотя Microsoft с тех пор устранила уязвимость, которая представляла серьезную угрозу безопасности, она предоставила хакерам возможность осуществлять атаки за пределами устройств с предустановленным вредоносным программным обеспечением. Это стало возможным, поскольку хакеры имели права администратора на уязвимых компьютерах с Windows. Они использовали цифровую подпись операционной системы для установки вредоносного ПО во время процесса запуска, что упростило установку вредоносного программного обеспечения.

Смотрите также

2025-01-17 20:39