Windows和Linux安全关键截止日期即将到来

# Windows 和 Linux 安全的关键截止日期即将来临 来源：https://www.wired.com/story/a-critical-deadline-is-approaching-for-windows-and-linux-security/ Windows (https://www.wired.com/tag/windows) 和 Linux (https://www.wired.com/tag/linux) 用户正面临一个紧迫的时间节点：需要更新用于保护系统免受基于固件的UEFI感染（一种在操作系统和反恶意软件防护启动之前加载的恶意软件）的加密密钥 (https://www.wired.com/story/fancy-bear-hackers-uefi-rootkit/)。 自6月24日起，三份用于加密验证系统启动过程中加载的每一段固件和软件的证书将到期。这些由微软签名的证书是Secure Boot（安全启动）这一微软设计的信任链的基石。Secure Boot会检查系统启动时加载的所有固件的数字签名，以确保其来自受信任的提供商，例如系统运行所依赖的主板制造商。 Secure Boot旨在挫败UEFI启动工具包（bootkits），这是一种修改统一可扩展固件接口（UEFI，即BIOS的继任者，两者都负责初始启动序列）的恶意软件。由于这些启动工具包在操作系统和大多数其他代码之前加载，因此很难被检测到。一旦安装，它们通常会向操作系统加载恶意软件，窃取凭据、在系统上开后门或执行其他恶意操作。即使操作系统被清除感染，启动工具包也能重新感染系统。启动工具包还能在操作系统重装后幸存。 ## 启动工具包简史 启动工具包的起源可以追溯到20世纪80年代初，当时出现了几种针对Apple II机器启动过程的恶意软件（https://elhacker.info/manuales/Virus/Rootkits%20and%20Bootkits_%20Reversing%20Modern%20Malware%20and%20Next%20Generation%20Threats%20Early%20Access.pdf），它们通过看似包含盗版游戏的软盘在真实环境中传播。 Windows启动工具包在21世纪初引起关注，当时进攻性安全研究人员开发了概念验证。BootRoot 是一个启动工具包，在2005年的Black Hat安全会议上进行了演示（https://blackhat.com/presentations/bh-usa-05/bh-us-05-soeder.pdf），很可能是第一个此类实例。该恶意软件感染了网络驱动程序接口规范（NDIS），该规范用于简化网络协议驱动程序之间的通信，从而支持TCP/IP网络适配器驱动程序等服务。此后，类似的概念验证还包括 Vbootkit (https://blackhat.com/presentations/bh-europe-07/Kumar/Presentation/bh-eu-07-kumar-apr19.pdf) 、Stoned Bootkit (https://blackhat.com/presentations/bh-usa-09/KLEISSNER/BHUSA09-Kleissner-StonedBootkit-PAPER.pdf) 和 Mebroot (https://web.archive.org/web/20080111144919/http://www.symantec.com/security_response/writeup.jsp?docid=2008-010718-3448-99)。后续还有更多类似威胁。 2012年，一种新形式的启动工具包被展示出来。与通过BIOS或主引导记录（MBR）攻击机器不同，有一种启动工具包 (https://web.archive.org/web/20121101094905/http://ho.ax/De_Mysteriis_Dom_Jobsivs_Black_Hat_Paper.pdf) 通过感染EFI（负责启动过程的固件包）来攻击Mac OS X系统。另一种非常原始的启动工具包 (https://web.archive.org/web/20121006171515/http://www.itsec.it/2012/09/18/uefi-technology-say-hello-to-the-windows-8-bootkit/) 则通过感染UEFI启动工具包 (https://en.wikipedia.org/wiki/UEFI)（UEFI的前身）来针对Windows 8机器。大约在2013年，一位研究人员演示了一种名为 Dreamboat (https://web.archive.org/web/20140207025247/https://www.quarkslab.com/dl/13-04-hitb-uefi-dreamboot.pdf) 的更高级的UEFI启动工具包，适用于Windows。 首个已知的真实世界攻击UEFI的案例出现在2018年，当时发现了名为 LoJax 的恶意软件 (https://arstechnica.com/information-technology/2018/10/first-uefi-malware-discovered-in-wild-is-laptop-security-software-hijacked-by-russians/)。它是合法防盗软件LoJack的改装版本，由受克里姆林宫支持的黑客组织（追踪名包括 Sednit、Fancy Bear 和 APT 28）创建。该恶意软件通过能够读取和覆写UEFI固件闪存部分的远程攻击工具进行安装。 2020年，研究人员挖掘出第二个已知的真实世界UEFI恶意软件攻击案例。每次受感染设备重启时，其UEFI会检查Windows启动文件夹中是否存在恶意文件，如果没有，则安装它。来自卡巴斯基（发现该恶意软件的安全提供商）的研究人员将其命名为“MosaicRegressor (https://arstechnica.com/information-technology/2020/10/custom-made-uefi-bootkit-found-lurking-in-the-wild/)”。研究人员尚未确定受感染的UEFI是如何被入侵的。自那以后，又有少量新的UEFI启动工具包曝光，被追踪的名称包括 ESpecter、FinSpy 和 MoonBounce。 ## 需要是发明之母 为应对UEFI启动工具包日益严重的威胁，微软与设备制造商合作开发了Secure Boot（安全启动），这是一种行业标准，使用加密签名来确保启动时加载的每一段固件都得到计算机制造商的信任。Secure Boot旨在创建一个信任链，防止攻击者将预期的启动固件替换为恶意固件。如果启动链中的某个环节未被识别，Secure Boot将阻止设备启动。 随后在2023年，研究人员发现了 LogoFail (https://arstechnica.com/security/2023/12/just-about-every-windows-and-linux-device-vulnerable-to-new-logofail-firmware-attack/)，这是一系列存在于全球几乎所有Windows和Linux系统启动的UEFI中的关键漏洞。在启动过程中显示硬件制造商标志的软件中存在一个图像解析错误，使攻击者能够绕过Secure Boot并用恶意固件感染UEFI。 LogoFail的发现使得微软需要用新的加密签名替换支撑Secure Boot的现有签名。三份旧签名（日期为2011年）将被移除，取而代之的是日期为2023年的签名。微软正在更新Windows 10和Windows 11机器。Linux发行版也在更新“shims”（一种小型的第一阶段UEFI启动加载器，充当Secure Boot密钥与Linux启动加载器之间的可信桥梁）。 未能更新与Secure Boot相关的密钥的机器将继续正常运行，但将不再受到针对新UEFI威胁的保护。需要明确的是，这些机器已经容易受到利用全行业LogoFail漏洞的新UEFI攻击。密钥刷新旨在减轻这一风险，并防止未来可能出现的无关UEFI攻击。 要检查Windows机器上密钥的状态，用户可以依次打开“Windows安全设置” > “设备安全性” > “安全启动”。绿色勾选标记表示更新已完成。大多数Windows机器会在常规月度补丁分发期间自动更新密钥，但旧机器可能需要手动操作。Linux用户应关注新 shims 的发布。 微软建议人们保持所有固件更新已是最新状态，因为有时需要这些更新才能使Secure Boot证书顺利更新。该公司在此处 (https://techcommunity.microsoft.com/blog/windows-itpro-blog/secure-boot-playbook-for-certificates-expiring-in-2026/4469235) 提供了有关应用固件更新的更多信息。 *本文最初发表在 Ars Technica (https://arstechnica.com/security/2026/06/windows-and-linux-users-the-deadline-to-update-secure-boot-keys-is-near/) 上。*