摘要：在过去几个月中，Windows设备固件保护的行业标准被一种新发现的漏洞（CVE-2024-7344）所破坏，攻击者可在启动时执行恶意固件。微软已对此漏洞发布了补丁，但Linux系统的情况尚不明朗。固件感染的危险在于其在操作系统加载之前就能运行，从而绕过系统防御

在过去几个月中，Windows设备固件保护的行业标准被一种新发现的漏洞（CVE-2024-7344）所破坏，攻击者可在启动时执行恶意固件。微软已对此漏洞发布了补丁，但Linux系统的情况尚不明朗。固件感染的危险在于其在操作系统加载之前就能运行，从而绕过系统防御并保持持久性。安全启动自2012年推出，通过验证启动文件的数字签名来阻止此类攻击。然而，ESET的研究员发现Howyar Technologies的SysReturn软件中隐藏着一个未签名的UEFI应用程序reloader.efi，该程序未通过安全启动流程，可能导致更广泛的安全隐患。此漏洞的存在突显了固件安全性的重要性，并对多个供应商的恢复软件产生了影响。

在过去的七个月中——甚至可能更久——一个保护Windows设备免受固件感染的行业标准被一种简单的技术所破坏。周二，微软对此漏洞发布了补丁。然而，Linux系统的状态仍然模糊不清。

这一问题被识别为CVE-2024-7344，使得拥有特权访问设备的攻击者能够在启动过程中执行恶意固件。这类攻击尤其危险，因为感染存在于固件中，固件在Windows或Linux加载之前就开始运行。这种战略性的位置使恶意软件能够绕过操作系统（OS）建立的防御，并确保其持久性，即使在硬盘被重新格式化后也是如此。因此，产生的“引导工具”可以控制操作系统的启动过程。

安全启动于2012年推出，旨在通过建立一个信任链来阻止这些类型的攻击，该信任链连接在启动过程中加载的每一个文件。每当设备启动时，安全启动会验证所有固件组件的数字签名，然后才允许它们执行。此外，它还会检查操作系统引导加载程序的数字签名，以确认其根据安全启动政策是可信的且未被更改。安全启动集成在UEFI（统一可扩展固件接口）中，UEFI是BIOS的继任者，负责引导现代Windows和Linux设备。

去年，安全公司ESET的研究员马丁·斯莫拉尔（Martin Smolár）对Howyar Technologies提供的实时系统恢复软件套件SysReturn做出了一个引人注目的发现。在该软件的深处隐藏着一个名为reloader.efi的XOR编码的UEFI应用程序，它以某种方式通过了微软对第三方UEFI应用程序的内部审查流程，并获得了数字签名。

reloader.efi并没有使用UEFI函数LoadImage和StartImage来执行安全启动过程，而是采用了一个自定义的PE加载程序，未能进行必要的检查。随着斯莫拉尔继续他的调查，他发现reloader.efi不仅存在于Howyar的SysReturn中，还出现在其他六家供应商的恢复软件中。这些供应商的完整列表如下：

来源：老孙科技前沿