Баги в подписанных Microsoft загрузчиках позволяют обойти UEFI Secure Boot

Екатерина Быстрова 15 Августа 2022 - 10:16

Домашние пользователи

...

Специалисты нашли уязвимость в трёх сторонних UEFI-загрузчиках, подписанных корпорацией Microsoft. В случае эксплуатации эти бреши позволят злоумышленнику обойти защитный механизм UEFI Secure Boot.

На проблему обратили внимание исследователи из компании Eclypsium. В отчёте эксперты пишут следующее:

«Использовать эти уязвимости в атаке можно с помощью монтирования системного раздела EFI и подмены существующего загрузчика уязвимой копией. Также можно модифицировать переменную UEFI для загрузки уязвимого лоадера вместо обычного».

Список затронутых загрузчиков с идентификаторами уязвимостей выглядит так:

New Horizon Datasys (CVE-2022-34302)
CryptoPro Secure Disk (CVE-20220-34303)
Eurosoft Boot Loader Bypass (CVE-2022-34301)

Интересно, что все они аутентифицированы и подписаны Microsoft, которая, кстати, устранила проблему с выходом августовского набора патчей.

Функция Secure Boot представляет собой определённый стандарт, который был разработан для защиты от вредоносных программ, пытающихся запускаться при старте операционной системы. Задача Secure Boot — убедиться, что исключительно доверенный софт запускается на раннем этапе загрузки ОС.

Если условный злоумышленник воспользуется уязвимостями, выявленными специалистами Eclypsium, ему удастся обойти Secure Boot и выполнить вредоносный код в процессе загрузки устройства.

Наиболее проблемной оказалась брешь под идентификатором CVE-2022-34302 (затрагивает New Horizon Datasys) — её не только легко использовать в реальной кибератаке, она ещё позволяет отключить защитные средства вроде Trusted Platform Module (TPM) и проверки подписи.

Тем не менее для эксплуатации этих багов злоумышленнику потребуется сначала получить права администратора на устройстве жертвы.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 05 Декабря 2025 - 15:38

Android Трояны Домашние пользователи Лаборатория Касперского

В России в 1,5 раза выросло число заражений NFC-троянами для Android

Во втором полугодии 2025 года кибермошенники в России заметно активизировались. По данным «Лаборатории Касперского», в третьем квартале число попыток заражения Android-смартфонов NFC-троянами выросло более чем в полтора раза и превысило 44 тысячи случаев.

При этом эксперты отмечают интересный сдвиг: если раньше злоумышленники чаще использовали схему «прямого NFC», то теперь всё большую популярность набирает так называемый «обратный NFC».

В этой схеме мошенник выходит на потенциальную жертву через мессенджер и предлагает установить якобы «служебное» приложение для верификации клиента. На деле это вредоносная программа.

После установки жертву убеждают приложить банковскую карту к задней панели смартфона и ввести ПИН-код. Вредонос передаёт данные карты злоумышленникам, которые могут сразу снимать с неё деньги или осуществлять бесконтактные платежи от имени владельца.

Этот метод становится всё популярнее. Жертве присылают APK-файл и уговаривают установить приложение, выдавая его за полезный инструмент. Если пользователь делает зловред основным способом бесконтактной оплаты, смартфон начинает передавать в банкомат сигнал не как его карта, а как карта злоумышленника.

Дальше всё выглядит как обычная просьба «перевести средства на безопасный счёт». Мошенник просит поднести телефон к банкомату и внести деньги — и жертва собственными руками отправляет средства на счёт преступников. Именно поэтому такая схема опаснее: транзакции выглядят вполне легальными.

«С конца 2024 года мы наблюдаем развитие атак с использованием NFC и специальных вредоносных утилит», — объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского». По его словам, подобные техники уже применялись за рубежом, а теперь всё чаще встречаются и в России.

«Если раньше акцент делался на „прямом NFC“, то теперь мы всё чаще видим „обратный NFC“. Опасность этой схемы в том, что жертва сама совершает перевод, и такие операции почти невозможно отличить от обычных», — добавляет он.

Решения «Лаборатории Касперского» определяют подобные вредоносные утилиты как Trojan-Banker.AndroidOS.Ganfyc.

Не так давно мы писали, что для NFC-атак на Android созданы сотни фейков Банка России и Госуслуг.