VU#457458:发现供应商签名的 UEFI 应用程序存在安全启动绕过漏洞
多个由厂商签名的 UEFI 应用程序易受安全启动绕过攻击。该漏洞允许攻击者在早期预启动阶段执行任意代码。该漏洞利用了“自带易感驱动程序”(BYOVD)技术。如果系统信任厂商的证书,攻击者可在操作系统加载之前破坏固件。UEFI 标准要求安全启动必须使用已签名的应用程序和驱动程序。攻击者可利用具有特定功能的 UEFI 应用程序来规避这些安全策略。研究人员发现来自 Acer、AMD 和 ASUS 等厂商的多种 UEFI 应用程序存在漏洞。这些应用程序具备操纵内存或加载原始驱动程序的能力。其影响重大,可导致持久性的平台 compromise 并规避安全工具。为缓解此风险,系统管理员必须更新 UEFI 禁止签名数据库(DBX)。此举将撤销对易感二进制文件的信任。此外,应用厂商提供的固件和软件更新至关重要。这些更新会用安全版本替换易感应用程序。更新 DBX 可防止执行这些受损应用程序。