为了应对更具威胁性的 UEFI 引导程序,微软与设备制造商合作开发了“安全启动”(Secure Boot)。这是一个行业标准,利用加密签名来确保在启动过程中加载的每一段固件都受到计算机制造商的信任。安全启动旨在建立一个信任链,防止攻击者用恶意固件替换预期的启动固件。如果启动链中的任何一个环节无法被识别,安全启动将阻止设备启动。
随后在 2023 年,研究人员发现了 LogoFail。这是一个发现于几乎所有全球 Windows 和 Linux 系统启动时的 UEFI 中的一系列严重漏洞。由于硬件制造商在启动时显示徽标的软件中存在图像解析错误,攻击者可以借此绕过安全启动并用恶意固件感染 UEFI。
LogoFail 的发现要求微软用新的加密签名替换支撑安全启动的现有签名。三个日期为 2011 年的旧签名将被移除,取而代之的是 2023 年的新签名。微软正在对 Windows 10 和 Windows 11 设备进行更新。Linux 发行商也正在更新“shim”,这是一个作为安全启动密钥与 Linux 引导程序之间信任桥梁的小型第一阶段 UEFI 引导加载程序。
未能更新相关安全启动密钥的机器仍将继续运行,但它们将不再受到针对新 UEFI 威胁的保护。需要明确的是,这些设备原本就已经面临着利用广泛存在的 LogoFail 漏洞带来的新 UEFI 威胁。此次密钥更换旨在降低该风险,并防止未来可能出现的无关 UEFI 攻击。
要检查 Windows 机器上的密钥状态,用户可以打开“Windows 安全设置(Windows Security)> 设备安全性(Device Security)> 安全启动(Secure Boot)”。绿色对号表示更新已完成。大多数 Windows 机器会在常规的每月补丁分发过程中自动更新这些密钥,但较旧的机器可能需要手动操作。Linux 用户应关注新版 shim 的发布。
微软建议用户保持所有固件更新,因为这有时是确保安全启动证书顺利更新所必需的。该公司在相关页面提供了更多关于应用固件更新的信息。
此故事最初发表于 Ars Technica。