I ricercatori di ESET hanno scoperto una vulnerabilità critica, identificata come CVE-2024-7344, che permette di aggirare il meccanismo di Secure Boot nei sistemi UEFI (Unified Extensible Firmware Interface) di Windows. Questa falla consente l’esecuzione di codice non affidabile durante l’avvio del sistema e facilita l’installazione di bootkit malevoli anche quando Secure Boot è attivo.
Una vulnerabilità “in” Windows.. ma non “di” Windows
La vulnerabilità risiede in un’applicazione UEFI firmata con il certificato “Microsoft Corporation UEFI CA 2011“, utilizzata in diverse suite software di ripristino sviluppate da terze parti. L’applicazione impiega un loader PE personalizzato anziché le funzioni standard UEFI come LoadImage e StartImage, bypassando così le verifiche dei binari contro i database di fiducia (db) e revoca (dbx).
Questo permette il caricamento di qualsiasi binario UEFI, anche non firmato da un file appositamente creato (“cloak.dat“) durante l’avvio del sistema, indipendentemente dallo stato di Secure Boot.
L’exploit di CVE-2024-7344 permette agli attaccanti di eseguire codice non affidabile durante l’avvio del sistema, semplifica poi l’installazione di bootkit come Bootkitty o BlackLotus anche nei sistemi in cui Secure Boot è stato abilitato. Tali bootkit possono eludere le difese del sistema operativo e persistere persino dopo la formattazione del disco rigido.
Le raccomandazioni di ESET
Nel giugno 2024 ESET ha segnalato la vulnerabilità al CERT Coordination Center (CERT/CC) che ha contattato i vendor interessati. I produttori hanno poi rilasciato degli aggiornamenti per correggere la falla e Microsoft ha revocato i binari vulnerabili nel suo aggiornamento Patch Tuesday del 14 gennaio 2025.
Agli utenti Windows e agli amministratori di sistema si consiglia di:
- verificare la presenza di aggiornamenti per le suite di ripristino utilizzate e applicare le patch fornite dai vendor.
- Assicurarsi che gli aggiornamenti di sicurezza di Windows siano installati, in particolare quelli rilasciati nel Patch Tuesday di gennaio 2025.
- Monitorare eventuali comunicazioni da parte dei fornitori di software e hardware riguardanti ulteriori misure di sicurezza o aggiornamenti correlati a questa vulnerabilità.