
Detail telah muncul tentang kerentanan keamanan yang kini telah ditambal yang memungkinkan bypass mekanisme Boot Aman dalam sistem Unified Extensible Firmware Interface (UEFI).
Kerentanan, yang diberi pengidentifikasi CVE CVE-2024-7344 (skor CVSS: 6.7), berada dalam aplikasi UEFI yang ditandatangani oleh sertifikat UEFI pihak ketiga Microsoft Corporation “Microsoft Corporation UEFI CA 2011”, menurut laporan baru dari ESET yang dibagikan kepada The Berita Peretas.
Eksploitasi kelemahan yang berhasil dapat menyebabkan eksekusi kode yang tidak tepercaya selama boot sistem, sehingga memungkinkan penyerang menyebarkan bootkit UEFI berbahaya pada mesin yang mengaktifkan Boot Aman, apa pun sistem operasi yang diinstal.
Boot Aman adalah standar keamanan firmware yang mencegah pemuatan malware saat komputer dinyalakan dengan memastikan bahwa perangkat melakukan booting hanya menggunakan perangkat lunak yang dipercaya oleh Original Equipment Produsen (OEM). Fitur ini memanfaatkan tanda tangan digital untuk memvalidasi keaslian, sumber, dan integritas kode yang dimuat.

Aplikasi UEFI yang terkena dampak adalah bagian dari beberapa rangkaian perangkat lunak pemulihan sistem real-time yang dikembangkan oleh Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc., dan Signal Computer GmbH –
- Howyar SysReturn sebelum versi 10.2.023_20240919
- Greenware GreenGuard sebelum versi 10.2.023-20240927
- Radix SmartRecovery sebelum versi 11.2.023-20240927
- Sistem Sanfong EZ-back sebelum versi 10.3.024-20241127
- WASAY eRecoveryRX sebelum versi 8.4.022-20241127
- CES NeoImpact sebelum versi 10.1.024-20241127
- SignalComputer HDD King sebelum versi 10.3.021-20241127

“Kerentanan ini disebabkan oleh penggunaan pemuat PE khusus alih-alih menggunakan fungsi UEFI standar dan aman, LoadImage dan StartImage,” kata peneliti ESET Martin Smolár. Hasilnya, aplikasi ini memungkinkan pemuatan biner UEFI apa pun – bahkan yang tidak ditandatangani – dari file yang dibuat khusus bernama cloak.dat, selama sistem dimulai, terlepas dari status UEFI Secure Boot.
Oleh karena itu, penyerang yang menggunakan CVE-2024-7344 dapat menghindari perlindungan UEFI Secure Boot dan mengeksekusi kode yang tidak ditandatangani selama proses booting dalam konteks UEFI bahkan sebelum sistem operasi dimuat, sehingga memberi mereka akses rahasia dan terus-menerus ke host.
“Kode yang dieksekusi pada fase boot awal ini dapat bertahan di sistem, berpotensi memuat ekstensi kernel berbahaya yang bertahan baik saat reboot maupun instalasi ulang OS,” kata Pusat Koordinasi CERT (CERT/CC). “Selain itu, ia mungkin menghindari deteksi oleh langkah-langkah keamanan berbasis OS dan deteksi dan respons titik akhir (EDR).”
Pelaku kejahatan dapat lebih memperluas cakupan eksploitasi dengan membawa salinan biner “reloader.efi” mereka yang rentan ke sistem UEFI mana pun dengan sertifikat UEFI pihak ketiga Microsoft terdaftar. Namun, hak istimewa yang lebih tinggi diperlukan untuk menyebarkan file yang rentan dan berbahaya ke partisi sistem EFI: administrator lokal di Windows dan root di Linux.
Perusahaan keamanan siber Slovakia mengatakan bahwa mereka secara bertanggung jawab mengungkapkan temuan tersebut kepada CERT/CC pada bulan Juni 2024, setelah itu Howyar Technologies dan mitra mereka mengatasi masalah tersebut pada produk terkait. Pada 14 Januari 2025, Microsoft mencabut biner lama yang rentan sebagai bagian dari pembaruan Patch Tuesday.

Selain menerapkan pencabutan UEFI, mengelola akses ke file yang terletak di partisi sistem EFI, kustomisasi Boot Aman, dan pengesahan jarak jauh dengan Trusted Platform Module (TPM) adalah beberapa cara lain untuk melindungi terhadap eksploitasi bootloader dan penerapan UEFI rentan yang tidak dikenal. dari bootkit UEFI.
“Jumlah kerentanan UEFI yang ditemukan dalam beberapa tahun terakhir dan kegagalan dalam menambalnya atau mencabut biner yang rentan dalam jangka waktu yang wajar menunjukkan bahwa fitur penting seperti UEFI Secure Boot tidak boleh dianggap sebagai penghalang yang tidak dapat ditembus,” kata Smolár.
“Namun, yang paling mengkhawatirkan kami sehubungan dengan kerentanan bukanlah waktu yang dibutuhkan untuk memperbaiki dan mencabut biner, yang cukup baik dibandingkan dengan kasus serupa, namun fakta bahwa ini bukan pertama kalinya hal seperti itu terjadi. biner UEFI bertanda tangan yang tidak aman telah ditemukan. Hal ini menimbulkan pertanyaan tentang seberapa umum penggunaan teknik tidak aman tersebut di antara vendor perangkat lunak UEFI pihak ketiga, dan berapa banyak bootloader serupa yang tidak jelas namun bertanda tangan yang mungkin ada di luar sana.”