VU#616257:微软签名的 UEFI 引导加载程序存在安... 笔记

VU#616257:微软签名的 UEFI 引导加载程序存在安全启动绕过漏洞

Microsoft 因安全启动绕过漏洞,撤销了对旧版开源 shim 引导加载程序的信任。该漏洞允许攻击者在启动过程的早期执行任意代码,从而规避安全机制。受影响的 shim 引导加载程序主要为 0.9 版及更早版本,将被加入 Microsoft UEFI 禁止签名数据库(DBX)。一旦 DBX 更新完成,这些引导加载程序将被禁止运行。shim 项目通过充当固件与操作系统之间的桥梁,为 Linux 发行版提供安全启动支持。然而,一些厂商分叉了旧版存在漏洞的版本却未进行更新,从而造成了持续性的供应链风险。研究人员从多个厂商(包括 Red Hat、baramundi 和 Oracle)识别出特定的易受攻击的 shim 引导加载程序。利用此漏洞,拥有启动修改权限的攻击者可获得持久控制,甚至可能加载未经签名的内核组件,使其在重启后依然存活。这些恶意组件可逃避操作系统安全机制和端点检测解决方案。为缓解此风险,用户必须应用最新的厂商软件和引导加载程序更新。此外,应用 Microsoft 的 DBX 更新对于阻止易受攻击的引导加载程序至关重要。企业和开发者应在广泛部署前对这些更新进行彻底测试。建议在应用 DBX 撤销之前,先更新授权签名数据库(DB)。现有工具可用于审计和验证 DBX 更新,并识别被撤销的引导组件。