资讯
近日消息,一批专业的技术人员在深入监测和分析过程中,意外发现了一种极为棘手的新型UEFI漏洞。这个隐藏在系统深处的隐患,犹如一颗潜在的“定时炸弹”,正悄然威胁着众多计算机系统的安全。
据报道,该漏洞的罪魁祸首来自一款客户 PE 加载程序(PE loader),该程序允许加载任何 UEFI 二进制文件,包括未签名的文件。这是由于该漏洞并未依赖 LoadImage 和 StartImage 等受信任的服务。攻击者可以通过替换 EFI 分区中应用程序的默认操作系统引导程序,植入包含简单加密 XOR PE 映像的易受攻击版本。一旦安装成功,受感染系统将使用 XOR PE 映像中的恶意数据启动。
由于该漏洞完全绕过了安全启动机制并在 UEFI 级别运行,软件级别的杀毒软件和安全措施对此类攻击束手无策。即使重新安装操作系统,也无法彻底清除这一威胁。
据悉,多款第三方开发者开发的系统恢复工具利用了这一新漏洞。这些 UEFI 应用程序主要用于系统恢复、磁盘维护或备份,受影响的工具包括 Howyar SysReturn、Greenware GreenGuard、Radix SmartRecovery 等。
ESET 安全研究人员已发现以下受影响软件产品:
Howyar SysReturn(10.2.023_20240919 之前版本)
Greenware GreenGuard(10.2.023-20240927 之前版本)
Radix SmartRecovery(11.2.023-20240927 之前版本)
Sanfong EZ-back System(10.3.024-20241127 之前版本)
WASAY eRecoveryRX(8.4.022-20241127 之前版本)
CES NeoImpact(10.1.024-20241127 之前版本)
SignalComputer HDD King(10.3.021-20241127 之前版本)
值得庆幸的是,微软和 ESET 已采取措施保护用户免受该漏洞的影响。ESET 已联系相关供应商以解决安全问题,而微软在本周的“补丁星期二”更新中,撤销了受影响软件的证书。
如果你正在使用上述任何软件,建议立即安装最新的 Windows 更新,并将相关软件升级至修复该漏洞的最新版本,以确保系统安全。
文明上网,理性发言,共同做网络文明传播者