Az ESET szakemberei egy rendkívül veszélyes sebezhetőségre bukkantak, ami lehetővé teszi, hogy a Secure Boot funkciót kijátszva bootkitet telepítsenek az adott rendszerre. Ez gyakorlatilag annyit jelent, hogy a kártékony kód még az operációs rendszer és a különböző védelmi szoftverek előtt be tud töltődni, így érzékelése kvázi lehetetlen, eltávolítása pedig nem oldható meg egyszerű operációs rendszer újratelepítéssel.

A sebezhetőségről természetesen már tudnak a Microsoft szakemberei is, van rá javítás, amit a legutóbbi Patch Tuesday keretén belül már széles körben elérhetővé is tettek. Az említett összegző frissítés, ami Windows 10-hez és Windows 11-hez egyaránt elérhető, egyébként 159 hibára hozott gyógyírt, köztük néhány nulladik napi sebezhetőségre, illetve néhány kritikus sérülékenységre is, ahogy azt korábbi hírünkben már megírtuk.

A CVE-2024-7344 bejegyzés alatt futó sebezhetőség a Howyar Taiwan Secure Boot Bypass név alatt fut és igen-igen veszélyes. A sérülékenység lényegében az egyedi PE betöltőben foglal helyet, ami lehetővé teszi, hogy gyakorlatilag bármilyen UEFI binárist betöltsön a rendszer, még akár olyat is, ami egyébként alá sincs írva. A sebezhetőség miatt kártékony kód telepítésére is lehetőség van, ami abból fakad, hogy a szoftver nem olyan megbízható funkciókra támaszkodik, mint amilyen a LoadImage vagy a StartImage.

A támadók a sebezhetőség révén lecserélhetik az operációs rendszer alapértelmezett booloader-jét, ami az EFI partíción található, a helyére pedig egy sebezhető, kezdetlegesen titkosított XOR PE képfájlt helyezhetnek, amelynek kártékony adataival bootolhat az adott rendszer. Mivel ezzel a módszerrel lényegében teljes egészében kiütik a Secure Boot funkciót, illetve az összes többi biztonsági szolgáltatást is, gyakorlatilag kiszolgáltatottá teszik az adott rendszert, amelyen így hiába fut a legmodernebb operációs rendszer a legnagyobb biztonságot nyújtó védelmi szoftverekkel karöltve, ezek mit sem érnek.

A sebezhetőséget több olyan szoftveres eszköz tartalmazza, amelyek eredetileg arra szolgálnak, hogy helyreállítsák az adott rendszert, karbantartást végezzenek rajta, vagy éppen biztonsági mentést készítsenek róla. Az érintett eszközök a lenti felsorolásban szerepelnek, a sebezhetőséget tartalmazó verziószámmal együtt. A Microsoft csapata időközben elkészítette a javítást a hibára, ami a múlt hét keddi Patch Tuesday frissítőcsomag keretén belül elérhetővé is vált. Ezzel együtt az érintett szoftverek tanúsítványait is visszavonták.

Az érintett szoftverek listája

Amennyiben a fenti alkalmazások bármelyikét használnánk, előtte mindenképpen érdemes frissíteni az adott Windows kiadást a Windows Update-en keresztül, majd pedig ellenőrizni kell, hogy a kiszemelt szoftver megkapta-e már a javítást a hibára – a legfrissebb verziók elvileg már mentesek tőle.