Категория: Программы Теги: Уязвимости Опубликовано: 9 апреля 2025

Уязвимость BDU:2025-00366: Обход UEFI Secure Boot через Howyar Reloader

Уязвимость BDU:2025-00366 (CVE-2024-7344) позволяет обойти механизм UEFI Secure Boot на большинстве UEFI-систем. Проблема заключена в загрузчике Howyar Reloader (reloader.efi), подписанном сертификатом Microsoft Corporation UEFI CA 2011. Уязвимость связана с использованием кастомного PE-загрузчика вместо стандартных функций UEFI (LoadImage/StartImage), что позволяет выполнять неподписанный код на этапе загрузки системы.

Уязвимые продукты:

Howyar SysReturn (до версии 10.2.023_20240919).
Greenware GreenGuard, Radix SmartRecovery, SANFONG EZ-back и другие.

Howyar Reloader распространялся как часть программного обеспечения SysReturn (до версии 10.2.02320240919). Это означает, что он присутствовал только на тех системах, где было установлено это конкретное программное обеспечение.

Кроме того, в отчете Института программной инженерии Университета Карнеги-Меллона упоминается, что Howyar Reloader мог быть "включен и распространен как часть программного обеспечения цепочки поставок" . Это означает, что он мог присутствовать в некоторых UEFI-реализациях, предоставляемых поставщиками программного обеспечения или OEM-производителями, но это не делает его универсальным компонентом всех компьютеров.

Таким образом, уязвимость BDU:2025-00366 (CVE-2024-7344) не является повсеместной, а затрагивает лишь определенный круг систем, где использовался Howyar Reloader в составе SysReturn или другого ПО.

Технический разбор уязвимости

Механизм уязвимости

Загрузка cloak.dat:
Уязвимый загрузчик reloader.efi ищет файл cloak.dat на EFI-разделе (например, \EFI\boot\cloak.dat). Этот файл содержит зашифрованный PE-образ, который расшифровывается с помощью XOR-ключа 0xB3.
Обход Secure Boot:
Вместо использования безопасных функций UEFI для проверки подписи, reloader.efi вручную загружает и исполняет образ из cloak.dat, игнорируя проверки баз данных db (доверенные сертификаты) и dbx (отозванные хеши).
Выполнение произвольного кода:
Атакующий может заменить cloak.dat на вредоносный UEF-бинар, который выполняется с правами ядра. Это позволяет развернуть буткит (например, BlackLotus) даже при активном Secure Boot.

Условия эксплуатации

Локальный доступ с привилегиями администратора: Для записи файлов на EFI-раздел (ESP).
Наличие уязвимого reloader.efi: Подписанного сертификатом Microsoft Corporation UEFI CA 2011.

Пример атаки

Подмена загрузчика:
Атакующий заменяет стандартный загрузчик (например, bootmgfw.efi) на reloader.efi.
Размещение вредоносного cloak.dat:
В cloak.dat помещается шелл-код, создающий SUID-копию /bin/sh или добавляющий буткит.
Перезагрузка системы:
После перезагрузки выполняется код из cloak.dat, обходящий Secure Boot.

Защита и устранение

1. Установка обновлений

Microsoft отозвала уязвимые бинарники. Обновления добавляют хеши reloader.efi в базу dbx.

Проверка установки исправлений при помощи powershell:

# Проверка наличия уязвимого сертификата в db  
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'  

# Проверка отзыва reloader.efi (64-бит)  
[BitConverter]::ToString((Get-SecureBootUEFI dbx).bytes) -replace '-' -match 'CDB7C90D3AB8833D5324F5D8516D41FA990B9CA721FE643FFFAEF9057D9F9E48'

2. Ограничение доступа к EFI-разделу

AppLocker: Заблокируйте выполнение файлов из \EFI\boot\ для непривилегированных пользователей.
Мониторинг изменений: Используйте инструменты вроде Sysmon для отслеживания изменений в ESP.

3. Настройка Secure Boot

Отключение сторонних сертификатов: На системах Windows 11 Secured-core PC опция доверия Microsoft UEFI CA 2011 отключена по умолчанию.
Кастомные политики: Удалите сертификат Microsoft Corporation UEFI CA 2011 из базы db через UEFI Setup.