近日，一个新的UEFI漏洞被发现，可通过多个系统恢复工具传播，微软已经正式将该漏洞标记为追踪编号“CVE-2024-7344”。根据报告的说明，该漏洞能让攻击者绕过安全启动机制，并部署对操作系统隐形的引导工具包。

 

据TomsHardware报道，罪魁祸首来自客户PE加载程序，允许加载任何UEFI二进制文件，甚至是未签名的二进制文件。这是由于该漏洞不依赖于可信服务，如LoadImage和StartImage等所造成的。

攻击者可以通过使用包含基本加密XOR PE映像的易受攻击版本，替换EFI分区上应用程序的默认操作系统引导加载程序来利用此功能。一旦安装，受感染的系统将使用XOR PE映像中的恶意数据进行启动。由于该漏洞完全绕过了安全启动机制并在UEFI级别中运行，软件级别的杀毒软件和安全措施对此类攻击束手无策。即便重新安装操作系统，也无法彻底清除潜在威胁。
 

ESET安全研究人员发现受影响软件产品包括：

Howyar SysReturn（10.2.023_20240919之前版本）

Greenware GreenGuard（10.2.023-20240927之前版本）

Radix SmartRecovery（11.2.023-20240927之前版本）

Sanfong EZ-back System（10.3.024-20241127之前版本）

WASAY eRecoveryRX（8.4.022-20241127之前版本）

CES NeoImpact（10.1.024-20241127之前版本）

SignalComputer HDD King（10.3.021-20241127之前版本）

微软和ESET安全部门已经采取措施保护公众免受此漏洞的侵害，并联系了受影响的供应商，以消除安全问题。