
Une nouvelle vulnérabilité de contournement de démarrage sécurisé UEFI répertoriée comme CVE-2024-7344 qui affecte une application signée Microsoft pourrait être exploitée pour déployer des kits de démarrage même si la protection de démarrage sécurisé est active.
L’application UEFI vulnérable est présente dans plusieurs outils de récupération système en temps réel de plusieurs développeurs de logiciels tiers.
Les kits de démarrage représentent une menace critique pour la sécurité qui est difficile à détecter car ils agissent avant le chargement du système d’exploitation et survivent aux réinstallations du système d’exploitation.
Problème sous-jacent
Le problème provient de l’application utilisant un chargeur PE personnalisé, qui permet de charger n’importe quel binaire UEFI, même s’il n’est pas signé.
Plus précisément, l’application UEFI vulnérable ne s’appuie pas sur des services de confiance tels que « LoadImage » et « StartImage » qui valident les binaires par rapport à une base de données de confiance (db) et une base de données de révocation (dbx).
Dans ce contexte, ‘recharger.efi déchiffre et charge manuellement les binaires en mémoire à partir de cloak.dat’, qui contient une image rudimentaire cryptée XOR PE.
Ce processus dangereux pourrait être exploité par un attaquant en remplaçant le chargeur de démarrage du système d’exploitation par défaut de l’application sur la partition EFI par un chargeur vulnérable.efi ‘ et planter une cape malveillante.fichier dat ‘ sur ses chemins nominaux.
Au démarrage du système, le chargeur personnalisé déchiffrera et exécutera le binaire malveillant sans validation de démarrage sécurisée.

Portée de l’impact
La vulnérabilité affecte les applications UEFI conçues pour aider à la récupération du système, à la maintenance des disques ou aux sauvegardes et ne sont pas des applications UEFI à usage général.
Le rapport d’ESET répertorie les produits et versions suivants comme vulnérables:
- Retour système Howyar avant la version 10.2.023_20240919
- Greenware GreenGuard avant la version 10.2.023-20240927
- Radix SmartRecovery avant la version 11.2.023-20240927
- Système Sanfong EZ-back avant la version 10.3.024-20241127
- Récupération d’érex WASAY avant la version 8.4.022-20241127
- CES Neo Impact avant la version 10.1.024-20241127
- Signal Computer HDD King avant la version 10.3.021-20241127
Il convient de noter que les attaquants pourraient exploiter CVE-2024-7344 même si les applications ci-dessus ne sont pas présentes sur l’ordinateur cible. Les pirates pourraient effectuer l’attaque en déployant uniquement le chargeur vulnérable. efi ‘ binaire de ces applications.
Cependant, ceux qui utilisent les applications ci-dessus et les versions affectées doivent passer aux versions les plus récentes dès que possible pour éliminer la surface d’attaque.
ESET a publié une vidéo pour démontrer comment la vulnérabilité pourrait être exploitée sur un système sur lequel le démarrage sécurisé est activé
Correctifs et atténuations
Microsoft a publié un correctif pour CVE-2024-7344
ESET a découvert la vulnérabilité le 8 juillet 2024 et l’a signalée au Centre de coordination CERT (CERT/CC) pour une divulgation coordonnée aux parties concernées.
Les fournisseurs concernés ont résolu le problème dans leurs produits et Microsoft a révoqué les certificats lors de la mise à jour du mardi du correctif du 14 janvier
Au cours des mois suivants, ESET a travaillé avec les fournisseurs concernés pour évaluer les correctifs proposés et éliminer le problème de sécurité.
Finalement, le 14 janvier 2025, Microsoft a révoqué les certificats des applications UEFI vulnérables, ce qui devrait bloquer toute tentative d’exécution de leurs binaires.
Cette atténuation est automatiquement appliquée aux utilisateurs qui ont installé la dernière mise à jour Windows. ESET a également partagé des commandes PowerShell que les administrateurs de systèmes critiques peuvent utiliser pour vérifier manuellement si les révocations ont été appliquées avec succès.