Баги в подписанных Microsoft загрузчиках позволяют обойти UEFI Secure Boot

Баги в подписанных Microsoft загрузчиках позволяют обойти UEFI Secure Boot

Баги в подписанных Microsoft загрузчиках позволяют обойти UEFI Secure Boot

Специалисты нашли уязвимость в трёх сторонних UEFI-загрузчиках, подписанных корпорацией Microsoft. В случае эксплуатации эти бреши позволят злоумышленнику обойти защитный механизм UEFI Secure Boot.

На проблему обратили внимание исследователи из компании Eclypsium. В отчёте эксперты пишут следующее:

«Использовать эти уязвимости в атаке можно с помощью монтирования системного раздела EFI и подмены существующего загрузчика уязвимой копией. Также можно модифицировать переменную UEFI для загрузки уязвимого лоадера вместо обычного».

Список затронутых загрузчиков с идентификаторами уязвимостей выглядит так:

Интересно, что все они аутентифицированы и подписаны Microsoft, которая, кстати, устранила проблему с выходом августовского набора патчей.

Функция Secure Boot представляет собой определённый стандарт, который был разработан  для защиты от вредоносных программ, пытающихся запускаться при старте операционной системы. Задача Secure Boot — убедиться, что исключительно доверенный софт запускается на раннем этапе загрузки ОС.

Если условный злоумышленник воспользуется уязвимостями, выявленными специалистами Eclypsium, ему удастся обойти Secure Boot и выполнить вредоносный код в процессе загрузки устройства.

Наиболее проблемной оказалась брешь под идентификатором CVE-2022-34302 (затрагивает New Horizon Datasys) — её не только легко использовать в реальной кибератаке, она ещё позволяет отключить защитные средства вроде Trusted Platform Module (TPM) и проверки подписи.

Тем не менее для эксплуатации этих багов злоумышленнику потребуется сначала получить права администратора на устройстве жертвы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вышла RuBackup 2.7: поддержка OpenStack, SIEM и Deckhouse Stronghold

Компания «РуБэкап» (входит в «Группу Астра») выпустила новую версию платформы резервного копирования и восстановления данных RuBackup 2.7. Обновление направлено на повышение эффективности и безопасности процессов управления данными, а также соответствует требованиям российского рынка к импортозамещению и защите информации.

Среди ключевых изменений — улучшенная дедупликация при записи резервных копий на специализированные системы хранения и интеграция с SIEM-системами для мониторинга событий безопасности. Появилась поддержка хранилища секретов Deckhouse Stronghold.

Одним из заметных новшеств стала возможность восстанавливать данные напрямую из резервной копии, без использования промежуточного хранилища — это ускоряет процесс восстановления после сбоев.

RuBackup 2.7 также расширяет поддержку виртуализации: добавлены модули для работы с OpenStack и SpaceVM 6.5.5. Для баз данных Oracle реализовано восстановление на заданную точку времени — такая же функция теперь доступна и для Tucana и RBM. Обновлён интерфейс выбора объектов резервного копирования: пользователи могут выделять сразу несколько директорий и файлов.

Обновление уже доступно для текущих клиентов и может быть установлено в существующей ИТ-инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru