Investigadores de ESET descubrieron la vulnerabilidad CVE-2024-7344, que afecta a una aplicación UEFI firmada por Microsoft utilizada en herramientas de recuperación del sistema en Windows 11. Esta vulnerabilidad permitía la ejecución de bootkits incluso con Secure Boot activado, representando una amenaza seria, ya que estos tipos de malware operan antes de que el sistema operativo se cargue, haciéndolos difíciles de detectar y eliminar.
El problema radica en el uso de un cargador PE personalizado dentro de las aplicaciones UEFI afectadas. En lugar de utilizar los servicios seguros de validación de binarios (LoadImage y StartImage), estas aplicaciones empleaban un archivo llamado cloak.dat, que contenía imágenes PE cifradas de manera rudimentaria. Al descifrarlas y ejecutarlas en memoria sin validación de seguridad, el sistema quedaba vulnerable, permitiendo que atacantes reemplazaran el cargador de arranque legítimo con uno malicioso (reloader.efi).
La vulnerabilidad afectaba herramientas UEFI de terceros utilizadas para mantenimiento y copias de seguridad, incluyendo:
- Howyar SysReturn (versiones anteriores a 10.2.023_20240919)
- Greenware GreenGuard (versiones anteriores a 10.2.023-20240927)
- Radix SmartRecovery (versiones anteriores a 11.2.023-20240927)
- Sistema EZ-back de Sanfong (versiones anteriores a 10.3.024-20241127)
- WASAY eRecoveryRX (versiones anteriores a 8.4.022-20241127)
- CES NeoImpact (versiones anteriores a 10.1.024-20241127)
- SignalComputer HDD King (versiones anteriores a 10.3.021-20241127)
ESET notificó a Microsoft y al CERT/CC sobre esta vulnerabilidad el 8 de julio de 2024. Durante los meses siguientes, los desarrolladores trabajaron en la creación y prueba de parches para mitigar el problema. Finalmente, el 14 de enero de 2025, Microsoft revocó los certificados digitales de las aplicaciones comprometidas a través de una actualización de seguridad distribuida en su habitual martes de parches. Esto impide la ejecución de los binarios vulnerables, bloqueando su explotación.
Para verificar que la revocación se haya aplicado correctamente, ESET proporcionó comandos de PowerShell, lo que resulta clave en entornos críticos. Además, se recomienda a los usuarios actualizar las herramientas afectadas a sus versiones más recientes y mantener Windows al día con las últimas actualizaciones de seguridad.