یک آسیبپذیری جدید در UEFI کشف شده است که به مهاجمان اجازه میدهد تا بوت ایمن را دور بزنند و بوتکیتهایی را به سیستم تزریق کنند که برای سیستمعامل نامرئی است. در ادامه با این آسیبپذیری بیشتر آشنا خواهیم شد.
به گزارش وبسایت TomsHardware، این آسیبپذیری که توسط مایکروسافت با کد CVE-2024-7344 Howyar Taiwan شناخته میشود، توسط یک PE Loader باعث میشود تا که هرگونه کد دودویی UEFI بدون نیاز به مجوز روی سیستم بارگذاری شود. به نظر میرسد این موضوع به دلیل آسیبپذیری است که گفته میشود به سرویسهای قابل اعتمادی مانند LoadImage و StartImage وابسته نیست.
مهاجمان میتوانند با سوءاستفاده از این آسیبپذیری، بوتلودر پیشفرض یک برنامه در سیستمعامل را روی پارتیشن EFI با یک نسخه آسیبپذیر که شامل ایمیج رمزگذاری شده XOR PE است، جایگزین کنند. در نهایت این موضوع به بوت شدن سیستم عامل دستگاه با دادههای آلوده از آن ایمیج XOR PE میشود.
با توجه به دور زدن کامل Secure Boot در مرحله UEFI توسط این آسیبپذیری، آنتیویروسهای نرمافزاری و اقدامات امنیتی سیستمعامل بدون کاربرد خواهند شد و دربرابر این حملات، کارایی نخواهند داشت. همچنین پاک و دوباره نصب کردن سیستم عامل نیز کمکی به رفع این مشکل نخواهد کرد.
نرمافزاهای آلوده به این آسیبپذیری
این آسیبپذیری در بسیاری از ابزارهای ریکاوری سیستم که معمولاً برای ریکاوری، تعمیر دیسک یا پشتیبانی گیری استفاده میشوند مشاهده شده است.
همچنین شرکت ESET لیستی از چند ابزار که توسط این آسیبپذیری آلوده شدهاند را منتشر کرده است که در ادامه آن را مطالعه خواهید کرد:
- Howyar SysReturn before version 10.2.023_20240919
- Greenware GreenGuard before version 10.2.023-20240927
- Radix SmartRecovery before version 11.2.023-20240927
- Sanfong EZ-back System before version 10.3.024-20241127
- WASAY eRecoveryRX before version 8.4.022-20241127
- CES NeoImpact before version 10.1.024-20241127
- SignalComputer HDD King before version 10.3.021-20241127
اقدامات مایکروسافت و ESET
خبر خوب اینکه مایکروسافت و شرکت ESET برای مقابله با این آسیبپذیری اقداماتی را انجام دادهاند تا کاربران از آسیبهای احتمالی دور باشند. شرکت ESET به سازندگان این نرمافزارها برای رفع این آسیبپذیری اطلاع داده است و مایکروسافت نیز گواهینامه این نرمافزارها را در آپدیت جدید ویندوز غیرفعال کرده است.
یک آسیبپذیری جدید در UEFI کشف شده است که به مهاجمان اجازه میدهد تا بوت ایمن را دور بزنند و بوتکیتهایی را به سیستم تزریق کنند که برای سیستمعامل نامرئی است. در ادامه با این آسیبپذیری بیشتر آشنا خواهیم شد.
به گزارش وبسایت TomsHardware، این آسیبپذیری که توسط مایکروسافت با کد CVE-2024-7344 Howyar Taiwan شناخته میشود، توسط یک PE Loader باعث میشود تا که هرگونه کد دودویی UEFI بدون نیاز به مجوز روی سیستم بارگذاری شود. به نظر میرسد این موضوع به دلیل آسیبپذیری است که گفته میشود به سرویسهای قابل اعتمادی مانند LoadImage و StartImage وابسته نیست.
مهاجمان میتوانند با سوءاستفاده از این آسیبپذیری، بوتلودر پیشفرض یک برنامه در سیستمعامل را روی پارتیشن EFI با یک نسخه آسیبپذیر که شامل ایمیج رمزگذاری شده XOR PE است، جایگزین کنند. در نهایت این موضوع به بوت شدن سیستم عامل دستگاه با دادههای آلوده از آن ایمیج XOR PE میشود.
با توجه به دور زدن کامل Secure Boot در مرحله UEFI توسط این آسیبپذیری، آنتیویروسهای نرمافزاری و اقدامات امنیتی سیستمعامل بدون کاربرد خواهند شد و دربرابر این حملات، کارایی نخواهند داشت. همچنین پاک و دوباره نصب کردن سیستم عامل نیز کمکی به رفع این مشکل نخواهد کرد.
نرمافزاهای آلوده به این آسیبپذیری
این آسیبپذیری در بسیاری از ابزارهای ریکاوری سیستم که معمولاً برای ریکاوری، تعمیر دیسک یا پشتیبانی گیری استفاده میشوند مشاهده شده است.
همچنین شرکت ESET لیستی از چند ابزار که توسط این آسیبپذیری آلوده شدهاند را منتشر کرده است که در ادامه آن را مطالعه خواهید کرد:
- Howyar SysReturn before version 10.2.023_20240919
- Greenware GreenGuard before version 10.2.023-20240927
- Radix SmartRecovery before version 11.2.023-20240927
- Sanfong EZ-back System before version 10.3.024-20241127
- WASAY eRecoveryRX before version 8.4.022-20241127
- CES NeoImpact before version 10.1.024-20241127
- SignalComputer HDD King before version 10.3.021-20241127
اقدامات مایکروسافت و ESET
خبر خوب اینکه مایکروسافت و شرکت ESET برای مقابله با این آسیبپذیری اقداماتی را انجام دادهاند تا کاربران از آسیبهای احتمالی دور باشند. شرکت ESET به سازندگان این نرمافزارها برای رفع این آسیبپذیری اطلاع داده است و مایکروسافت نیز گواهینامه این نرمافزارها را در آپدیت جدید ویندوز غیرفعال کرده است.
یک آسیبپذیری جدید در UEFI کشف شده است که به مهاجمان اجازه میدهد تا بوت ایمن را دور بزنند و بوتکیتهایی را به سیستم تزریق کنند که برای سیستمعامل نامرئی است. در ادامه با این آسیبپذیری بیشتر آشنا خواهیم شد.
به گزارش وبسایت TomsHardware، این آسیبپذیری که توسط مایکروسافت با کد CVE-2024-7344 Howyar Taiwan شناخته میشود، توسط یک PE Loader باعث میشود تا که هرگونه کد دودویی UEFI بدون نیاز به مجوز روی سیستم بارگذاری شود. به نظر میرسد این موضوع به دلیل آسیبپذیری است که گفته میشود به سرویسهای قابل اعتمادی مانند LoadImage و StartImage وابسته نیست.
مهاجمان میتوانند با سوءاستفاده از این آسیبپذیری، بوتلودر پیشفرض یک برنامه در سیستمعامل را روی پارتیشن EFI با یک نسخه آسیبپذیر که شامل ایمیج رمزگذاری شده XOR PE است، جایگزین کنند. در نهایت این موضوع به بوت شدن سیستم عامل دستگاه با دادههای آلوده از آن ایمیج XOR PE میشود.
با توجه به دور زدن کامل Secure Boot در مرحله UEFI توسط این آسیبپذیری، آنتیویروسهای نرمافزاری و اقدامات امنیتی سیستمعامل بدون کاربرد خواهند شد و دربرابر این حملات، کارایی نخواهند داشت. همچنین پاک و دوباره نصب کردن سیستم عامل نیز کمکی به رفع این مشکل نخواهد کرد.
نرمافزاهای آلوده به این آسیبپذیری
این آسیبپذیری در بسیاری از ابزارهای ریکاوری سیستم که معمولاً برای ریکاوری، تعمیر دیسک یا پشتیبانی گیری استفاده میشوند مشاهده شده است.
همچنین شرکت ESET لیستی از چند ابزار که توسط این آسیبپذیری آلوده شدهاند را منتشر کرده است که در ادامه آن را مطالعه خواهید کرد:
- Howyar SysReturn before version 10.2.023_20240919
- Greenware GreenGuard before version 10.2.023-20240927
- Radix SmartRecovery before version 11.2.023-20240927
- Sanfong EZ-back System before version 10.3.024-20241127
- WASAY eRecoveryRX before version 8.4.022-20241127
- CES NeoImpact before version 10.1.024-20241127
- SignalComputer HDD King before version 10.3.021-20241127
اقدامات مایکروسافت و ESET
خبر خوب اینکه مایکروسافت و شرکت ESET برای مقابله با این آسیبپذیری اقداماتی را انجام دادهاند تا کاربران از آسیبهای احتمالی دور باشند. شرکت ESET به سازندگان این نرمافزارها برای رفع این آسیبپذیری اطلاع داده است و مایکروسافت نیز گواهینامه این نرمافزارها را در آپدیت جدید ویندوز غیرفعال کرده است.
یک آسیبپذیری جدید در UEFI کشف شده است که به مهاجمان اجازه میدهد تا بوت ایمن را دور بزنند و بوتکیتهایی را به سیستم تزریق کنند که برای سیستمعامل نامرئی است. در ادامه با این آسیبپذیری بیشتر آشنا خواهیم شد.
به گزارش وبسایت TomsHardware، این آسیبپذیری که توسط مایکروسافت با کد CVE-2024-7344 Howyar Taiwan شناخته میشود، توسط یک PE Loader باعث میشود تا که هرگونه کد دودویی UEFI بدون نیاز به مجوز روی سیستم بارگذاری شود. به نظر میرسد این موضوع به دلیل آسیبپذیری است که گفته میشود به سرویسهای قابل اعتمادی مانند LoadImage و StartImage وابسته نیست.
مهاجمان میتوانند با سوءاستفاده از این آسیبپذیری، بوتلودر پیشفرض یک برنامه در سیستمعامل را روی پارتیشن EFI با یک نسخه آسیبپذیر که شامل ایمیج رمزگذاری شده XOR PE است، جایگزین کنند. در نهایت این موضوع به بوت شدن سیستم عامل دستگاه با دادههای آلوده از آن ایمیج XOR PE میشود.
با توجه به دور زدن کامل Secure Boot در مرحله UEFI توسط این آسیبپذیری، آنتیویروسهای نرمافزاری و اقدامات امنیتی سیستمعامل بدون کاربرد خواهند شد و دربرابر این حملات، کارایی نخواهند داشت. همچنین پاک و دوباره نصب کردن سیستم عامل نیز کمکی به رفع این مشکل نخواهد کرد.
نرمافزاهای آلوده به این آسیبپذیری
این آسیبپذیری در بسیاری از ابزارهای ریکاوری سیستم که معمولاً برای ریکاوری، تعمیر دیسک یا پشتیبانی گیری استفاده میشوند مشاهده شده است.
همچنین شرکت ESET لیستی از چند ابزار که توسط این آسیبپذیری آلوده شدهاند را منتشر کرده است که در ادامه آن را مطالعه خواهید کرد:
- Howyar SysReturn before version 10.2.023_20240919
- Greenware GreenGuard before version 10.2.023-20240927
- Radix SmartRecovery before version 11.2.023-20240927
- Sanfong EZ-back System before version 10.3.024-20241127
- WASAY eRecoveryRX before version 8.4.022-20241127
- CES NeoImpact before version 10.1.024-20241127
- SignalComputer HDD King before version 10.3.021-20241127
اقدامات مایکروسافت و ESET
خبر خوب اینکه مایکروسافت و شرکت ESET برای مقابله با این آسیبپذیری اقداماتی را انجام دادهاند تا کاربران از آسیبهای احتمالی دور باشند. شرکت ESET به سازندگان این نرمافزارها برای رفع این آسیبپذیری اطلاع داده است و مایکروسافت نیز گواهینامه این نرمافزارها را در آپدیت جدید ویندوز غیرفعال کرده است.
