近日,微軟終于修復了自2013年以來一直潛伏在系統中的安全啟動(Secure Boot)繞過漏洞。安全研究人員指出,此次事件暴露出的核心問題并非漏洞本身,而是那些帶有數字簽名卻缺乏有效追蹤管理的老舊組件。
![]()
這一長期存在的安全隱患源于一個簡單的管理疏漏:過時的組件從未被正式吊銷。知名安全廠商ESET的研究人員發現,一組存在漏洞的UEFI“shim”引導加載程序(部分甚至可以追溯到2013年)在漏洞曝光多年后,依然被微軟系統視為受信任組件。這意味著,攻擊者可以毫不費力地繞過Windows和Linux設備上的安全啟動機制。據悉,該問題共涉及11個shim二進制文件,這些文件仍持有有效簽名并被執行安全啟動的系統所接受。由于簽名是允許代碼在啟動過程中運行的關鍵憑證,一旦受信任組件被攻破,后續的所有啟動環節都將受到波及。
ESET研究員Martin Smolár強調:“這些舊版shim的危險之處不在于采用了什么新型漏洞,而是繞過UEFI安全啟動根本不需要新漏洞。攻擊者無需復雜的漏洞利用手段,只要擁有一份陳舊但仍受信任且未被吊銷的shim二進制文件副本,并具備關于UEFI shim運作方式的基礎知識,就足以繞過這一至關重要的安全防線。”在實際攻擊場景中,黑客可以利用這些shim在操作系統啟動之前加載惡意固件。這類惡意軟件具有極強的隱蔽性和頑固性,即使重裝操作系統甚至更換硬盤等硬件設備,也難以將其徹底清除。
安全啟動機制于2012年首次引入,其初衷正是為了防范此類底層攻擊。該機制要求啟動鏈條中的每一段代碼都必須獲得受信任機構的數字簽名。微軟作為該系統中的信任根,負責簽署自家的引導加載程序以及Linux等其他軟件所使用的shim。實際上,shim是一種折中方案,它使得非微軟軟件也能在安全啟動環境中正常運行。一旦微軟為一個shim提供了簽名,該shim就可以使用其內嵌的證書來批準后續的其他組件。
然而,這套機制有效運行的前提是:一旦發現某個shim存在漏洞,必須立刻將其吊銷。但在本次事件中,這一阻斷機制完全失效了。受影響的shim來源廣泛,涵蓋了Red Hat、openSUSE和Oracle等Linux發行商,以及部分第三方工具。其中一些組件在SBAT和MOK拒絕名單等新型保護機制問世前就已經存在;另一些則自身帶有代碼缺陷,或者會允許加載已知存在漏洞的組件。ESET特別指出了一個Oracle的shim,它允許運行帶有CVE-2015-5381漏洞的二進制文件,而且利用該漏洞的技術門檻相當低。
問題的另一部分原因在于安全啟動機制日益復雜。該系統目前依賴多個層級來決定哪些代碼可以運行,包括受信任簽名數據庫、吊銷列表,以及如SBAT等基于版本控制的新型機制。其中每一個環節都需要進行精確的更新與維護。正如Smolár所解釋的那樣,dbx負責吊銷特定的二進制文件,而SBAT和微軟的Secure Boot SVN則負責吊銷特定的版本。每個啟動組件都包含帶有版本號的元數據,系統理應攔截所有低于設定閾值的組件。但這完全依賴于閾值數據的及時更新。值得注意的是,即使是用于簽署這些shim的微軟證書過期,也未能自動阻止它們運行,這充分暴露了整個系統過于依賴主動吊銷,而非內置的過期失效機制。
目前,已經安裝最新更新的Windows系統不再受此漏洞威脅;對于Linux用戶,專家建議向相應的發行版官方進行核實,或使用fwupd等工具確認系統是否已獲得保護。
然而,引發業界更深層擔憂的是這套信任體系的脆弱現狀。在眾多組件、供應商和頻繁的更新之間管理信任關系,已被證明是一項極其艱巨的任務。runZero首席執行官兼創始人HD Moore在接受采訪時直言:“這是對整個安全啟動模型的嚴厲痛批。”他指出,有太多帶有簽名的組件缺乏有效追蹤,并且仍然可以被用于非預期的危險用途。Moore總結道:“最終的結果是,存在大量(除了微軟之外無人知曉的)帶有簽名且能繞過安全啟動的組件——其中一些被用來引導其他程序,并且它們同時帶有常規的安全漏洞和其他錯誤,這意味著它們幾乎可以用來引導任何東西。整個生態系統在某種程度上已經支離破碎,亟需一次徹底的重啟。”
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.