Negli ultimi sette mesi, i dispositivi Windows hanno affrontato una vulnerabilità significativa che ha permesso di eludere un importante standard di sicurezza a livello di firmware. Mercoledì, Microsoft ha rilasciato una patch per correggere questo problema, ma resta incerta la situazione per i sistemi Linux. Questo articolo analizza la vulnerabilità, le modalità di attacco coinvolte e le misure di sicurezza implementate da Microsoft.
La vulnerabilità CVE-2024-7344
Classificata come CVE-2024-7344, questa vulnerabilità ha consentito a potenziali aggressori di eseguire firmware dannoso durante il processo di avvio del dispositivo, a patto che avessero già ottenuto l'accesso privilegiato. Questo tipo di attacco è particolarmente insidioso in quanto le infezioni si nascondono all'interno del firmware, che viene caricato in una fase iniziale, prima che il sistema operativo Windows o Linux venga attivato. Questa posizione strategica permette al malware di sfuggire ai difensori installati dal sistema operativo, conferendogli la capacità di resistere anche dopo che i dischi rigidi sono stati riformattati. Una volta che il malware ha preso il controllo, il cosiddetto "bootkit" può gestire l'avvio del sistema operativo, compromettendo gravemente la sicurezza del dispositivo.
Cos'è e come funziona il Secure Boot
Il protocollo Secure Boot, implementato per la prima volta nel 2012, è progettato proprio per prevenire attacchi come quello descritto. Questo sistema crea una catena di fiducia che verifica ogni file caricato durante l'avvio. Quando un dispositivo si accende, Secure Boot controlla la firma digitale di ciascun componente del firmware prima di consentirne l'esecuzione. Successivamente, verifica la firma digitale del bootloader del sistema operativo per accertarsi che sia conforme alla politica di Secure Boot e che non sia stato manomesso. In questa architettura, Secure Boot è collegato all'UEFI, acronimo di Unified Extensible Firmware Interface, che è il successore del BIOS e si occupa dell'avvio dei moderni dispositivi Windows e Linux.
La scoperta del ricercatore e il rischio delle app non autorizzate
Nel corso del 2023, il ricercatore Martin Smolár di ESET ha individuato un’anomalia in SysReturn, un software di recupero in tempo reale fornito da Howyar Technologies. All'interno di questo software è stata trovata un’app UEFI chiamata reloader.efi, codificata mediante XOR e firmata digitalmente, la quale è riuscita a superare i controlli interni di Microsoft riguardo le applicazioni UEFI di terze parti. Ciò che ha destato maggiore preoccupazione è stato il metodo utilizzato da reloader.efi: non invocando le funzioni UEFI standard come LoadImage e StartImage per gestire il processo di Secure Boot, ma utilizzando un loader PE personalizzato che non eseguiva i controlli necessari.
Continuando le indagini, Smolár ha scoperto che reloader.efi non era presente solo nel software di Howyar, ma anche in programmi di recupero di sei altri fornitori, il che amplifica il rischio per gli utenti di dispositivi Windows e Linux. Questa scoperta ha sollevato interrogativi significativi sulla sicurezza e sull’integrità delle applicazioni UEFI disponibili sul mercato, evidenziando la necessità di una vigilanza costante e di miglioramenti nella sicurezza prima di poter considerare il problema definitivamente risolto.
