Microsoft가 최신 Windows 업데이트를 통해 해당 소프트웨어의 사용을 이미 차단했습니다.
새로운 UEFI 취약점이 여러 시스템 복구 도구를 통해 확산되고 있는 것으로 알려졌습니다. Bleeping Computer에 따르면, 이 취약점은 공격자가 Secure Boot를 우회하고 운영 체제(OS)가 감지할 수 없는 부트킷을 배포하는 것을 가능하게 합니다. 마이크로소프트는 이 취약점을 공식적으로 'CVE-2024-7344 Howyar Taiwan Secure Boot Bypass'라는 코드명으로 지정했습니다.
문제의 원인은 고객 PE 로더(customer PE loader)에서 비롯된 것으로 추정되는데, 이 로더는 서명이 되어 있지 않은 UEFI 바이너리라도 로드할 수 있게 합니다. 이는 해당 취약점이 LoadImage나 StartImage 같은 신뢰 서비스에 의존하지 않기 때문에 발생합니다.
공격자들은 이 기능을 악용하여 앱의 기본 OS 부트로더를 EFI 파티션 내 취약 버전으로 교체할 수 있으며, 이 버전에는 기본적인 암호화된 XOR PE 이미지가 포함되어 있습니다. 일단 설치되면, 감염된 시스템은 이 XOR PE 이미지의 악성 데이터를 통해 부팅됩니다.
마이크로소프트는 보안 허점을 막기 위해 Secure Boot 인증서를 주기적으로 갱신하고 있습니다. 만약 작년에 PC를 구매했다면, 최신 인증서 적용으로 대비가 가능할 것입니다.
한편, Denuvo는 최근의 하이퍼바이저 기반 DRM 우회에 대한 대응책을 발표했습니다.
이 익스플로잇은 Secure Boot를 완전히 우회하고 UEFI 레벨에서 작동하기 때문에, 일반적인 소프트웨어 수준 백신이나 보안 조치로는 방어하기 어렵습니다. 운영 체제 재설치 역시 완벽한 대응책이 될 수 없습니다.
다수의 서드파티 소프트웨어 개발사에서 만든 시스템 복구 도구들이 이 새로운 취약점을 악용하는 사례가 발견되었습니다. 특히 UEFI 애플리케이션은 시스템 복구, 디스크 유지 관리, 백업 등을 지원하기 위해 설계되었습니다. 영향을 받은 도구로는 Howyar SysReturn, Greenware GreenGuard, Radix SmartRecovery 등이 있습니다.
ESET 보안 연구원들에 의해 발견된 취약 소프트웨어 제품 목록은 다음과 같습니다:
- Howyar SysReturn (버전 10.2.023_20240919 이전)
- Greenware GreenGuard (버전 10.2.023-20240927 이전)
- Radix SmartRecovery (버전 11.2.023-20240927 이전)
- WASAY eRecoveryRX (버전 8.4.022-20241127 이전)
- CES NeoImpact (버전 10.1.024-20241127 이전)
긍정적인 소식은 마이크로소프트와 ESET 보안팀이 이미 대중 보호를 위한 조치를 취했다는 것입니다. ESET은 영향을 받은 공급업체들에게 연락하여 이 보안 문제를 제거하도록 조치했다고 알려졌습니다. 마이크로소프트는 이번 주 '패치 화요일'에 배포된 최신 Windows 업데이트를 통해 해당 취약 소프트웨어들의 인증서를 이미 폐기했습니다.
따라서 위에서 언급된 소프트웨어 중 어느 것을 사용하든, 최신 Windows 업데이트를 유지하고 관련 소프트웨어들을 이 UEFI 취약점을 해결한 최신 버전으로 업데이트하는 것이 필수적입니다.