Howyar Reloader UEFI 부트로더의 서명되지 않은 소프트웨어 실행 취약점

CERT/CC Vulnerability Note VU#529659

CERT Coordination Center

 

• UEFI 부트로더 Howyar Reloader의 취약점
  • Howyar UEFI 응용프로그램 Reloader는 UEFI Secure Boot를 우회하고 서명되지 않은 코드를 실행할 수 있는 취약점이 있음
  • 이 취약점은 SysReturn 10.2.02320240919 이전 버전에 포함된 Reloader에서 발생
  • 취약점은 하드코딩된 경로에서 UEFI 소프트웨어의 서명을 확인하지 않고 실행하도록 허용
• UEFI의 역할과 취약점 세부사항
  • UEFI는 초기 부팅 과정에서 하드웨어와 운영체제(OS) 간의 상호작용을 담당
  • UEFI Secure Boot는 디지털 서명을 통해 안전한 부팅을 보장
  • Howyar Reloader는 표준 API(LoadImage)를 사용하지 않아 서명 검증이 이루어지지 않음
  • 공격자는 악의적인 서명되지 않은 소프트웨어를 설치해 Secure Boot를 우회하고 높은 권한으로 코드를 실행 가능
• 취약점 영향
  • 공격자는 OS 부팅 이전에 코드를 실행하여 악성 커널 확장을 설치 가능
  • 코드가 재부팅 및 OS 재설치에도 지속될 가능성이 있음
  • OS 및 EDR(Endpoint Detection and Response) 기반 탐지 및 대응을 회피할 수 있음
• 대응 방안 및 권고 사항
  • Howyar Technologies는 취약점 해결을 위한 업데이트를 발표
  • Microsoft는 Secure Boot 금지 서명 데이터베이스(DBX) 업데이트를 제공할 예정
  • DBX 업데이트는 마더보드의 SPI 플래시에 적용되어야 하며, 시스템 불안정을 방지하기 위해 철저한 테스트 권장
  • 엔터프라이즈 및 클라우드 관리자는 업데이트를 우선적으로 적용하고 가상머신 부팅 과정에서 서명되지 않은 바이너리의 로딩을 방지해야 함
• 결론
  • Howyar Reloader 취약점은 UEFI 보안 체계에 심각한 위협을 초래할 수 있음
  • 취약점 해결을 위한 업데이트를 신속히 적용하고, Secure Boot와 관련된 모든 구성 요소의 무결성을 유지해야 함
  • IT 환경의 지속적인 점검과 보안 취약점의 조기 탐지가 필수적임