“攻擊者只要利用其中一個漏洞,就能在系統(tǒng)啟動時執(zhí)行未受信任的代碼,從而植入惡意的UEFI bootkit或其他惡意軟件。”ESET研究人員馬丁·斯莫拉爾在最新報告中發(fā)出警告,一批早已過時但仍受信任的微軟簽名UEFI shim引導(dǎo)程序,正在讓大量設(shè)備面臨Secure Boot(安全啟動)被悄然繞過的風(fēng)險。
這個發(fā)現(xiàn)直指11個舊版的開源shim加載器,它們都帶著微軟的簽名,因此被幾乎所有支持UEFI的現(xiàn)代設(shè)備無條件信任。只要設(shè)備固件里預(yù)置了“Microsoft Corporation UEFI CA 2011”這個第三方UEFI證書頒發(fā)機構(gòu)(CA)證書——無論裝的是Windows還是Linux——這些有缺陷的shim都有可能被攻擊者利用。該證書原本用于簽名那些需要在Secure Boot下運行的第三方啟動組件,有效期截至2026年6月27日,目前已被“Microsoft UEFI CA 2023”與“Microsoft Option ROM UEFI CA 2023”所取代。
![]()
Shim本身是一個輕量級開源UEFI引導(dǎo)加載程序,其作用是在電腦主板固件和Linux操作系統(tǒng)之間搭建一座橋梁,讓Linux發(fā)行版在Secure Boot開啟時也能正常啟動。因為微軟的CA證書默認(rèn)預(yù)裝在絕大多數(shù)UEFI設(shè)備中,shim通常就使用微軟簽名,從而在啟動時被固件一聲不吭地接納。正常流程是:UEFI固件先加載shim,并用內(nèi)置的微軟CA證書校驗其簽名;通過后,shim再用自己內(nèi)嵌的廠商證書去驗證第二階段的引導(dǎo)器(多數(shù)情況下是GRUB2);最后GRUB2用同一套廠商證書核驗Linux內(nèi)核。正是這條一環(huán)扣一環(huán)的信任鏈,讓攻擊者找到了可乘之機。
斯洛伐克的這家網(wǎng)絡(luò)安全公司指出,這些早已過時卻依舊“可信”的shim,能在系統(tǒng)上電啟動時就被用來執(zhí)行任意代碼。即便Secure Boot原封不動地開啟著,攻擊者仍可部署B(yǎng)ootkitty、HybridPetya或BlackLotus等UEFI bootkit,讓惡意代碼比操作系統(tǒng)更早獲得控制權(quán)。問題的根源在于這些舊版shim(主要來自0.9及更早版本)雖然設(shè)計了簽名校驗,但自身存在著可被繞過或未能正確驗證后續(xù)組件的弱點。
受影響并被確認(rèn)的shim引導(dǎo)加載器清單包括:Spyrus WTGCreator(0.7或更低版本)、RedHat Enterprise Linux 7.2(0.9)、RedHat CentOS 7.2(0.9)、Baramundi Management Suite(至2024R1版,0.8)、WhiteCanyon/Blancco WipeDrive 8.0.0至8.1.3版(0.7)、芬蘭高中會考系統(tǒng)Abitti 1.0(0.8)、ROSA Linux R10及R9(0.9)、OracleLinux 7.2(0.9)、PC-Doctor Service Center 15與16(0.9),以及OpenSuse的兩個UEFI Shim loader(0.9版)。這批shim的覆蓋范圍橫跨企業(yè)管理套件、磁盤擦除工具、教育考試系統(tǒng)和多個主流Linux發(fā)行版,潛在影響面相當(dāng)可觀。
在收到相關(guān)方在今年2月進(jìn)行的負(fù)責(zé)任的披露后,微軟已于2026年6月的補丁星期二更新中撤銷了這些存在漏洞的shim引導(dǎo)程序。對于仍在依賴舊版shim的系統(tǒng)和維護(hù)者來說,及時更新至受信任的新版引導(dǎo)鏈,是避免Secure Boot防線淪為擺設(shè)的當(dāng)務(wù)之急。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.