Windows和Linux用户：更新Secure Boot密钥的截止日期临近

# Windows和Linux用户：更新安全启动密钥的截止日期临近 来源：https://arstechnica.com/security/2026/06/windows-and-linux-users-the-deadline-to-update-secure-boot-keys-is-near/ 跳到内容 (https://arstechnica.com/security/2026/06/windows-and-linux-users-the-deadline-to-update-secure-boot-keys-is-near/#main) 关于保护机器启动序列的密钥即将过期，你需要知道什么。 Windows和Linux用户更新加密密钥的时钟正在滴答作响，这些密钥用于保护系统免受基于固件的UEFI感染——一种危险的恶意软件，在操作系统和反恶意软件保护启动之前就加载。 从6月24日开始，三个用于加密验证系统启动期间加载的每个固件和软件的证书将过期。这些由微软签名的证书是Secure Boot（安全启动）的基石，Secure Boot是微软设计的一条信任链。它检查系统启动时加载的所有代码的数字签名，以确保它们来自可信的提供商，例如系统所运行的主板的制造商。 Secure Boot旨在阻止bootkit（启动套件），这是一种恶意软件，会修改负责在初始启动序列期间加载固件和软件的系统。由于bootkit在操作系统和大多数其他代码之前加载，因此很难被检测到。一旦安装，它们通常会向操作系统加载恶意软件，用于窃取凭证、给系统开后门或执行其他恶意操作。即使操作系统被清理干净，bootkit也能重新感染系统。Bootkit还能在系统重装后存活。 ## 简史：从bootkit到UEFI威胁 Bootkit的起源可追溯到20世纪80年代初，当时出现了[几款恶意软件](https://elhacker.info/manuales/Virus/Rootkits%20and%20Bootkits_%20Reversing%20Modern%20Malware%20and%20Next%20Generation%20Threats%20Early%20Access.pdf)，在启动过程中针对Apple II机器。它们通过看似包含盗版游戏的软盘在野外传播。 Windows bootkit在21世纪初引起注意，当时是进攻性安全研究人员开发的概念验证。BootRoot是一款在2005年Black Hat安全大会上[演示](https://blackhat.com/presentations/bh-usa-05/bh-us-05-soeder.pdf)的bootkit，很可能是最早的一个实例。该恶意软件感染了网络驱动程序接口规范（NDIS），它简化了网络协议驱动程序之间的通信，从而支持诸如TCP/IP网络适配器驱动程序等服务。随后几年，类似的概念验证包括[Vbootkit](https://blackhat.com/presentations/bh-europe-07/Kumar/Presentation/bh-eu-07-kumar-apr19.pdf)、[Stoned Bootkit](https://blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf)和[Mebroot](https://web.archive.org/web/20080111144919/http://www.symantec.com/security_response/writeup.jsp?docid=2008-010718-3448-99)。此外还有更多。 2012年，一种新形式的bootkit被展示出来。它不再通过BIOS或主引导记录攻击机器，而是[一种](https://web.archive.org/web/20121101094905/http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf)通过感染EFI（启动过程的固件包）来攻击Mac OS X系统。[第二种](https://web.archive.org/web/20121006171515/http://www.itsec.it/2012/09/18/uefi-technology-say-hello-to-the-windows-8-bootkit/)非常原始的bootkit通过感染UEFI bootkit（UEFI的前身）来攻击Windows 8机器。大约在2013年，一名研究人员演示了一款更高级的Windows UEFI bootkit，名为[Dreamboat](https://web.archive.org/web/20140207025247/https://www.quarkslab.com/dl/13-04-hitb-uefi-dreamboot.pdf)。 第一个已知的真实世界针对UEFI的攻击案例出现在2018年，当时发现了一种名为[LoJax](https://arstechnica.com/information-technology/2018/10/first-uefi-malware-discovered-in-wild-is-laptop-security-software-hijacked-by-russians/)的恶意软件。它是合法防盗软件LoJack的重新利用版本，由克里姆林宫支持的黑客组织创建，该组织被追踪到多个名称，包括Sednit、Fancy Bear和APT 28。该恶意软件通过能够读取和覆盖UEFI固件闪存部分的恶意工具进行远程安装。 2020年，研究人员发现了第二例已知的真实世界攻击UEFI的恶意软件。每次受感染设备重启时，其UEFI都会检查Windows启动文件夹中是否存在某个恶意文件，如果不存在则安装它。发现该恶意软件的安全提供商卡巴斯基的研究人员将其命名为“MosaicRegressor”（https://arstechnica.com/information-technology/2020/10/custom-made-uefi-bootkit-found-lurking-in-the-wild/）。研究人员尚未确定受感染的UEFI是如何被攻破的。自那以后，又出现了一些新的UEFI bootkit，名称包括ESpecter、FinSpy和MoonBounce。 ## 需要是发明之母 为了应对这些威胁，微软与设备制造商合作开发了Secure Boot，这是一种行业标准，使用加密签名来确保启动期间加载的每个软件都得到计算机制造商的信任。Secure Boot旨在创建一条信任链，防止攻击者用恶意固件替换预期的启动固件。如果启动链中的任何一个环节未被识别，Secure Boot将阻止设备启动。 然后在2023年，研究人员发现了[LogoFail](https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/)，这是一系列关键漏洞，影响了启动世界上几乎所有Windows和Linux系统的UEFI。在启动期间显示硬件制造商徽标的软件中存在一个图像解析错误，使得攻击者能够绕过Secure Boot并用恶意固件感染UEFI。 LogoFail的发现要求微软用新签名替换支撑Secure Boot的现有加密签名。三个旧签名（日期为2011年）将被移除。取而代之的是日期为2023年的签名。微软正在更新Windows 10和Windows 11机器。Linux发行版也在更新“shim”——一个小型的第一阶段UEFI启动加载器，充当Secure Boot密钥与Linux启动加载器之间的可信桥梁。 未能更新与Secure Boot相关密钥的机器将继续运行，但将不再受保护以抵御新的UEFI威胁。需要明确的是，它们已经容易受到利用行业范围的LogoFail漏洞的新型UEFI威胁的攻击。密钥更新旨在缓解这一风险，并防止未来可能出现的其他UEFI攻击。 要检查Windows机器上密钥的状态，用户可以打开“Windows安全”设置 > “设备安全” > “安全启动”。绿色对勾表示更新已完成。大多数Windows机器在每月的常规补丁分发期间会自动更新密钥，但较旧的机器可能需要手动关注。Linux用户应关注新shim的发布。如果可能的话，用户应暂缓安装新的主板固件更新，直到新证书被替换。 Dan Goodin的照片（https://arstechnica.com/author/dan-goodin/） Dan Goodin是Ars Technica的高级安全编辑，负责监督恶意软件、计算机间谍、僵尸网络、硬件黑客、加密和密码等方面的报道。业余时间，他喜欢园艺、烹饪和关注独立音乐领域。Dan常驻旧金山。在Mastodon上关注他[此处](https://infosec.exchange/@dangoodin)，在Bluesky上关注他[此处](https://bsky.app/profile/dangoodin.bsky.social)。通过Signal联系他：DanArs.82。 45条评论（https://arstechnica.com/security/2026/06/windows-and-linux-users-the-deadline-to-update-secure-boot-keys-is-near/#comments） 1. 最受欢迎故事的首图：Commodore的最新设备是一款屏蔽社交媒体和浏览器的翻盖手机 (https://arstechnica.com/gadgets/2026/06/commodores-newest-gadget-is-a-flip-phone-that-blocks-social-media-and-browsers/)