Microsoft ha risolto una vulnerabilità presente in Windows che consentiva di aggirare la protezione Secure Boot ed eseguire firmware modificati (bootkit) all’avvio del computer. La patch è inclusa negli aggiornamenti cumulativi distribuiti il 14 gennaio. Il bug era stato scoperto dai ricercatori di ESET circa sette mesi fa.
Descrizione della vulnerabilità
La vulnerabilità, indicata con CVE-2024-7344, permette di aggirare il Secure Boot e quindi eseguire codice durante l’avvio del computer, prima del caricamento del sistema operativo e di eventuali soluzioni di sicurezza. I bootkit consentono così di prendere il controllo del dispositivo.
Quando viene caricata un’applicazione di boot, come Windows Boot Manager, shim o GRUB2, UEFI Boot Manager verifica la corrispondenza tra il certificato dell’applicazione con quelli presenti in un database. Microsoft usa due certificati, uno per le proprie applicazioni e uno per quelle di terze parti.
I ricercatori di ESET ha scoperto che SysReturn, un software per il ripristino del sistema sviluppato da Howyar Technologies, sfrutta un PE loader custom (firmato con il certificato di Microsoft) che non effettua la suddetta verifica. Ciò permette di caricare un firmware modificato (bootkit), aggirando la protezione di Secure Boot. Gli esperti di ESET hanno successivamente trovato lo stesso PE loader in altre sei applicazioni.
Microsoft ha rilasciato la patch il 14 gennaio per tutte le versioni di Windows supportate. In pratica è stato revocato il certificato (non è più presente nel database). Gli utenti devono quindi installare al più presto gli aggiornamenti, inclusi quelli per le applicazioni elencate da ESET.
Ti potrebbe interessare
17 gen 2025