3項經微軟簽發的UEFI Boot Loader可讓惡意程式繞過安全開機保護執行

安全廠商Eclypsium發現有三個獲得微軟簽發的UEFI bootloader存在漏洞，使惡意程式能躲過安全開機（Secure Boot）技術的防護，而得以在Windows裝置上執行。

Windows的安全開機機制是UEFI標準，可透過微軟憑證驗證韌體，及保護系統無法在開機早期，作業系統載入之前，載入與執行惡意程式碼。Eclypsium發現的3項UEFI bootloader，都獲得微軟UEFI第三方憑證機構（CA）的簽章。由於這個CA為所有Windows和Linux筆電、桌機、平板、伺服器及AIO系統所信任，因此攻擊者即可安裝有問題的開機程式，輕易在目標裝置上執行。

這三項BootLoader及其漏洞分別是Eurosoft（CVE-2022-34301）、New Horizon Datasys（CVE-2022-34302）及CryptoPro Secure Disk for BitLocker（CVE-2022-34303）。

其中CVE-2022-34301和CVE-2022-34303較類似，它們都是利用已簽發的UEFI shell，使攻擊者可利用shell內建的功能，迴避安全開機，像是讀寫記憶體、list handles或映射記憶體等，而且可利用開機script自動化執行。

這些行為都還有一些視覺上的指示元素，可在顯示器上看到，但沒有顯示器的伺服器或工業裝置則無從察覺。但New Horizon Datasys（CVE-2022-34302）的漏洞就更隱密了。它包含使Secure Boot開著，但關閉它的檢查。這能以更高明的手法躲避安全防護，像是關閉安全工具。這麼一來攻擊者也不需下指令，就能直接任意執行未簽章的程式碼。研究人員相信這項漏洞更能獲得駭客們的「青睞」。

CERT/CC指出，這些漏洞讓惡意程式繞過Secure Boot保護，而使系統載入任意程式碼。這些bootloader可協助攻擊者潛伏在系統內，例如載入任意的核心擴充程式躲過開機或OS重灌，或是躲過OS層安全軟體，或第三方端點防護工具。

研究人員警告，雖然更新有問題的bootloader需要管理員權限，但本地權限擴張（local privilege escalation，LPE）攻擊在Windows和Linux上都不難做到。尤其微軟並不認為UAC-bypass是不合法行為，也不修補相關被通報為漏洞的地方，因此Windows上反而許多機制可被用於將一般用戶提升到管理員權限。

此外，研究人員也指出，雖然在OS層執行惡意程式很常見，但Secure Boot是專門用於這些程式不致擴充權限到取得整臺機器，突破其他安全控制，因此這些漏洞還可以讓攻擊者很簡單就跨越UAC。

CERT呼籲用戶及早安裝最新OS安全更新，防止不安全韌體繞過Secure Boot防護。微軟8月Patch Tuesday就更新了Secure Boot Forbidden Signature Database（DBX）解決這項問題。

Eclypsium於2020年也揭露啟動程式Grub2的安全漏洞，名為BootHole，可允許駭客繞過安全啟動（Secure Boot）保護機制，於作業系統之前植入任意程式，個人電腦、伺服器、工作站到IoT裝置都受駭。