- 14,888
- 22
- 8 Ноя 2022
Буткит беспрепятственно проникает в любые системы. Как защититься?
В уязвимости Для просмотра ссылки Войдиили Зарегистрируйся связанной с обходом защиты UEFI Secure Boot , обнаружили угрозу, позволяющую хакерам устанавливать буткиты даже при включённой защите Secure Boot. Проблема затрагивает приложение, подписанное Microsoft , и используется в ряде инструментов для восстановления системы от сторонних разработчиков.
Буткиты представляют серьёзную угрозу безопасности, так как их действия начинаются ещё до загрузки операционной системы. Они также могут выживать после переустановки ОС, что делает их труднообнаружимыми. Проблема связана с использованием уязвимого PE-загрузчика, который позволяет загружать произвольные UEFI-бинарные файлы, игнорируя проверку их подписи.
Исследователи ESET Для просмотра ссылки Войдиили Зарегистрируйся что приложение использует нестандартный метод загрузки, вручную расшифровывая и загружая бинарные данные из файла «cloak.dat». Этот процесс обхода проверки безопасности может быть использован злоумышленниками, чтобы подменить загрузчик ОС и внедрить вредоносный файл в EFI-разделе.
Уязвимость затрагивает приложения для восстановления системы, резервного копирования и управления дисками. Среди пострадавших продуктов названы:
Microsoft выпустила исправление для этой уязвимости в Для просмотра ссылки Войдиили Зарегистрируйся 2025 года. Сертификаты уязвимых приложений были аннулированы, что блокирует их выполнение. Обновление применяется пользователям Windows автоматически. ESET также предоставила команды PowerShell для проверки успешного применения защиты.
Эксперты советуют как можно быстрее обновить ОС, а также указанные приложения (в случае их использования) до последних версий, чтобы исключить любые возможность для атаки.
В уязвимости Для просмотра ссылки Войди
Буткиты представляют серьёзную угрозу безопасности, так как их действия начинаются ещё до загрузки операционной системы. Они также могут выживать после переустановки ОС, что делает их труднообнаружимыми. Проблема связана с использованием уязвимого PE-загрузчика, который позволяет загружать произвольные UEFI-бинарные файлы, игнорируя проверку их подписи.
Исследователи ESET Для просмотра ссылки Войди
Уязвимость затрагивает приложения для восстановления системы, резервного копирования и управления дисками. Среди пострадавших продуктов названы:
- Howyar SysReturn до версии 10.2.023_20240919,
- Greenware GreenGuard до версии 10.2.023-20240927,
- Radix SmartRecovery до версии 11.2.023-20240927,
- Sanfong EZ-back System до версии 10.3.024-20241127,
- WASAY eRecoveryRX до версии 8.4.022-20241127,
- CES NeoImpact до версии 10.1.024-20241127,
- SignalComputer HDD King до версии 10.3.021-20241127.
Microsoft выпустила исправление для этой уязвимости в Для просмотра ссылки Войди
Эксперты советуют как можно быстрее обновить ОС, а также указанные приложения (в случае их использования) до последних версий, чтобы исключить любые возможность для атаки.
- Источник новости
- www.securitylab.ru
