Microsoft устранила существенную уязвимость безопасности, из-за которой Windows 11 оставалась под угрозой для атак вредоносного ПО на одном из самых критических уровней системы в течение более полугода. Вызывает беспокойство, что Microsoft сознательно оставляла эту лазейку открытой в течение столь длительного периода. Всем пользователям настоятельно рекомендуется как можно скорее установить обновление.
Уязвимость под номером CVE-2024-7344 позволяла злоумышленникам внедрять вредоносный код на устройства таким образом, чтобы обойти многие встроенные средства защиты Windows 11. Она использовала недостаток в том, как некоторые сторонние утилиты прошивки обрабатывали безопасные процессы загрузки UEFI, предоставляя злоумышленникам повышенные системные привилегии и позволяя их вредоносным процессам скрываться из вида. Такие типы атак на основе прошивки являются одними из самых сложных для обнаружения.
Проблема связана с тем, как некоторые легальные системные утилиты используют одобренные Microsoft цифровые сертификаты. Компания проводит строгую ручную проверку сторонних приложений прошивки, которые должны запускаться во время фазы безопасной загрузки. Однако исследователь из компании по безопасности ESET обнаружил, что по крайней мере семь разных поставщиков использовали подписанный компонент прошивки под названием «reloader.efi» небезопасным образом.
Используя пользовательский исполняемый загрузчик, эти утилиты могли непреднамеренно обойти проверки безопасности Microsoft и запустить любой код прошивки, включая неподписанные двоичные файлы, которые должны были блокироваться защитой загрузки. Это открыло дверь для изощренных злоумышленников, чтобы совмещать вредоносное ПО с легитимными утилитами.
Поставщики, которые неосознанно подвергли риску систему Windows 11 с помощью своих системных утилит, включают Howyar Technologies, Greenware, Radix, Sanfong, WASAY, CES и SignalComputer. Все они выпустили обновления для решения этой проблемы. Microsoft также отозвала цифровые сертификаты для затронутых версий прошивки, что должно помешать хакерам использовать уязвимость безопасности.
Наиболее важным является то, как уязвимость сохранялась более семи месяцев после того, как ESET изначально уведомила Microsoft о проблеме в июле 2024 года. Нет никаких доказательств того, что хакеры активно использовали эту уязвимость в реальных атаках, однако, тот факт, что такая вопиющая дыра в безопасности существовала в течение столь длительного периода, вызывает беспокойство.
Microsoft выпустила обновление для устранения уязвимости CVE-2024-7344, поэтому пользователи Windows 11 должны установить все последние исправления, особенно входящие в пакет Patch Tuesday от 14 января.