漏洞背景与影响

过去七个月甚至更长时间内，一种简单技术可以绕过保护Windows设备免受固件感染的行业标准。本周二，微软终于修补了这一漏洞。Linux系统的状态尚不明确。

该漏洞被标记为CVE-2024-7344，攻击者一旦获得设备的特权访问权限，便可以在启动过程中运行恶意固件。这类攻击尤其危险，因为感染隐藏在固件中，固件在Windows或Linux加载之前就已运行。这种战略位置使得恶意软件能够绕过操作系统安装的防御措施，甚至在硬盘重新格式化后仍能存活。此后，生成的“bootkit”将控制操作系统的启动。

Secure Boot机制

自2012年起，Secure Boot旨在通过创建信任链来防止这类攻击，信任链链接每个加载的文件。每次设备启动时，Secure Boot都会验证每个固件组件是否经过数字签名，然后检查操作系统引导加载程序的数字签名，以确保其受Secure Boot策略信任且未被篡改。Secure Boot内置于UEFI（统一可扩展固件接口），UEFI是BIOS的继任者，负责启动现代Windows和Linux设备。

漏洞发现

去年，安全公司ESET的研究员Martin Smolár注意到Howyar Technologies提供的实时系统恢复软件套件SysReturn中存在一个XOR编码的UEFI应用程序reloader.efi。该应用程序经过数字签名，似乎通过了微软的第三方UEFI应用程序内部审查流程。然而，reloader.efi并未调用UEFI函数LoadImage和StartImage来执行Secure Boot过程，而是使用了自定义的PE加载器，该加载器未执行必要的检查。

受影响的软件

Smolár进一步发现，reloader.efi不仅存在于Howyar的SysReturn中，还存在于其他六家供应商的恢复软件中。具体包括：

• Howyar SysReturn 10.2.023_20240919之前版本
• Greenware GreenGuard 10.2.023-20240927之前版本
• Radix SmartRecovery 11.2.023-20240927之前版本
• Sanfong EZ-back System 10.3.024-20241127之前版本
• WASAY eRecoveryRX 8.4.022-20241127之前版本
• CES NeoImpact 10.1.024-20241127之前版本
• SignalComputer HDD King 10.3.021-20241127之前版本

威胁范围

威胁不仅限于安装了易受攻击的系统恢复包的设备。已获得Windows设备管理权限的攻击者可以安装reloader.efi，并利用其数字签名在启动时安装恶意固件。本周二，微软通过更新Windows移除了该签名，从而消除了威胁。

历史背景与建议

2022年，安全公司Eclypsium发现了三个由微软签名的软件驱动程序，这些驱动程序可用于绕过Secure Boot。Smolár在文章中提出，这表明第三方UEFI软件供应商使用不安全技术的情况可能很普遍，可能存在其他类似的已签名引导加载程序。他呼吁微软提高第三方UEFI应用程序签名的透明度，以便及时发现和报告这类不安全的UEFI应用程序。

漏洞报告与响应

ESET于去年六月向CERT协调中心报告了这一漏洞。目前尚不清楚为何微软直到本周才发布补丁。Linux系统是否也受到漏洞影响，以及是否已发布补丁，目前也不明确。Red Hat、Suse和Ubuntu未立即回复通过电子邮件发送的问题。