V UEFI se objevila nová díra, umožňuje instalovat bootkity, které OS neodhalí
Objevila se nová zranitelnost v UEFI, která umožňuje útočníkům nainstalovat bootkity a operační systém je nedokáže odhalit. Dokáže obejít i Secure boot.
Objevila se nová bezpečnostní díra v UEFI, útočníci jsou díky ní schopni obejít Secure Boot a nainstalovat bootkity, které neodhalí ani operační systém. Navíc bootkity zůstanou v zařízení i po reinstalaci systému. Microsoft označil tuto hrozbu jako CVE-2024-7344 „Howyar Taiwan Secure Boot Bypass“.
Problém se týká chybné implementace PE loaderu, který umožňuje načítání libovolných binárních souborů, ovšem i z nedůvěryhodných zdrojů. Loader totiž nevyužívá bezpečnostní služby LoadImage a StartImage,, čímž umožňuje útočníkům podstrčit k bootu upravený zavaděč v EFI oddílu a spustit ještě před OS škodlivý kód.
Zvlášťe důležité ovšem je, že se bootkit nedá odstranit ani reinstalací systému. Funguje totiž na úrovni firmware, tedy ještě níž, než operační systém a tak ho ani antivirové programy nedokáží odhalit. Problém se dá vyřešit pomocí nástrojů pro obnovu systému, třeba Howyar SysReturn, Greenware GreenGuard nebo Radix SmartRecovery.
Společnosti zabývající se online ochranou ale už podnikají první kroky k ochraně. Microsoft ve své poslední aktualizaci zneplatnil certifikáty zasažených softwarů, čímž zamezil jejich spuštění. ESET se spojil s vývojáři a společně pracují na záplatě. V prohlášení stojí obvyklé doporučení pro aktualizaci OS a antivirových programů.
