一組安全研究員表示，由于忽視了一些PC制造商對Unified Extensible Firmware Interface (UEFI)規(guī)范的實(shí)施，攻擊者可能繞過這些PC上的Windows 8 Secure Boot機(jī)制。

今年在拉斯維加斯舉行的美國黑帽大會(Black Hat USA)上，研究人員Andrew Furtak、Oleksandr Bazhaniuk和Yuriy Bulygin演示了兩次電腦攻擊行為，通過避開Secure Boot，在計算機(jī)上安裝UEFI bootkit。

Secure Boot是UEFI規(guī)范的一項功能，只允許在啟動序列中加載帶有受信任數(shù)字簽名的軟件組件。它設(shè)計的目的是專門用于防止像bootkit這樣的惡意軟件影響啟動過程的。

據(jù)研究員表示，黑帽大會上展示的攻擊行為很可能不是因?yàn)镾ecure Boot本身漏洞導(dǎo)致的，而是因?yàn)槠脚_廠商對UEFI的錯誤實(shí)施。

在McAfee工作的Bulygin表示，第一個漏洞存在，是因?yàn)槟承S商并未恰當(dāng)?shù)乇Ｗo(hù)自己的固件，從而讓攻擊者有機(jī)會修改負(fù)責(zé)執(zhí)行Secure Boot的代碼。

這個漏洞主要是篡改平臺密鑰——所有Secure Book簽名檢查核心的根密鑰，但是為了使它工作需要在內(nèi)核模式下執(zhí)行和一部分操作系統(tǒng)的最高權(quán)限。

這在某種程度上限制了攻擊行為，因?yàn)檫h(yuǎn)程攻擊者必須首先設(shè)法找到一種方法，在目標(biāo)計算機(jī)的內(nèi)核模式下執(zhí)行代碼。

研究人員在一臺華碩VivoBokk Q200E筆記本電腦上演示了核心模式溢出漏洞，據(jù)Bulygin稱，一些華碩臺式機(jī)主板也受到了影響。

華碩發(fā)布了針對某些主板的BIOS升級，但是并沒有針對VivoBook筆記本電腦的。他認(rèn)為，越來越多的VivoBook型號可能容易受到攻擊。

華碩并未對此作出回應(yīng)。

研究人員演示的第二個漏洞，可以在用戶模式下進(jìn)行，這意味著攻擊者只需要利用像Java、Adobe Flash和微軟Office等常用應(yīng)用中的漏洞，就可以獲得系統(tǒng)的代碼執(zhí)行權(quán)。

研究人員拒絕透露關(guān)于這種攻擊的任何技術(shù)細(xì)節(jié)，也沒有羅列可能受影響的廠商產(chǎn)品，因?yàn)槟繕?biāo)漏洞是最近才發(fā)現(xiàn)的。

Bulygin表示，核心模式溢出漏洞的問題是在一年前發(fā)現(xiàn)并反饋給給平臺廠商的。他說，從某種程度上說，在經(jīng)過足夠的時間之后，公眾需要對此有所了解。

其他一些可能被用于避過Secure Boot的問題也已經(jīng)發(fā)現(xiàn)，微軟和UEFI論壇正在進(jìn)行行業(yè)標(biāo)準(zhǔn)，管理規(guī)范的協(xié)調(diào)。

微軟在郵件聲明中這樣寫道：“微軟正在與合作伙伴一起，幫助確保Secure Boot為我們的客戶提供出色的安全體驗(yàn)。”

盡管這些廠商的實(shí)施有問題，但是Secure Boot仍然是一個大的進(jìn)步?，F(xiàn)在為了安裝bootkit，攻擊者首先需要找到能允許他們避過Secure Boot的漏洞，而在傳統(tǒng)平臺上沒有什么能阻止的了他們。