微軟實施的調試策略催生安全啟動回避機制
E安全8月11日訊 MY123與Slipstream兩名安全研究人員已經發現并協助微軟修復了一項安全漏洞,其將允許攻擊者繞開用于保護采用Windows操作系統設備的安全啟動系統。
根據微軟方面的說法,安全啟動是一項由多家PC領域從業企業共同開發出的安全協議,其能夠自動被納入UEFI固件以幫助用戶的計算機、筆記本乃至智能手機設備完成引導啟動流程。
安全啟動的出現最初是為了對抗bootkits。這類惡意軟件能夠篡改引導過程,而安全啟動的任務正是在引導當中防止相關文件受到影響。
微軟親自添加問題代碼
MY123與Slipstream發現,在Windows 10 v1607 Redstone發布后,微軟公司添加了一種新的安全啟動策略,名為“補充(supplemental)”策略。
雙方表示,這些補充性策略的加入可用于禁用在引導過程中負責檢查相關執行文件是否由微軟進行簽名加密的安全啟動功能。
此項策略允許攻擊者將安全啟動轉換為所謂“測試簽名(testsigning)”測試模式,其允許任何人以物理方式控制設備加載未簽名二進制代碼。這意味著攻擊者能夠通過這種方式接管引導順序并加載惡意軟件,甚至加載一套自定義操作系統。
存在問題的安全啟動策略只是部分殘余的調試代碼
目前可能性最高的情況是,此項策略源自Windows 10開發流程,開發人員們希望借此加載未簽名驅動程序及其它Windows 10版本。
然而,此項策略并未被正確移除,甚至仍存在于過去一年內銷售的多款支持安全啟動固件的設備當中。
就目前的情況看,此安全啟動策略就像是一道后門,允許第三方對原本安全的設備進行隨意訪問。
存在問題的安全啟動策略已經泄露至網上
更可怕的是,已經有人發現此“測試”策略被泄露至網上,這意味著任何人都能夠將其加載至UEFI固件當中以繞開受保護設備中的安全啟動機制。
兩名研究人員已經私下里將問題透露給微軟,而后者剛開始則出于某種尚不明確的理由而并不打算進行修復。
微軟公司最終改變了主意,并于7月發布了一項MS16-096(CVE-2016-3287)補丁。該補丁并不完整,而且微軟方面雖然于昨天發布了第二項補丁MS16-100(CVE-2016-3320),但尚不確定其能否修復這一問題。
作為研究員之一,Slipstream在接受采訪時表示,這第二項補丁可能仍無法徹底修復此問題。“我對第二項補丁進行了檢查,”Slipstream解釋稱。“我發現其回調了*某種東西*,但還不清楚具體是什么。”此問題當前的具體狀態可能還需要一段時間才能確定。
FBI方面一直希望在主流系統內安插后門
雖然并不屬于加密后門,但此問題仍被稱為一把“金鑰匙”,因為其提供了一種能夠解鎖安全設備的途徑。
在此前蘋果與FBI之間的對抗當中,這樣的“金鑰匙”雖然無法恢復加密數據,但執法部門卻能夠借此解決多種其它情況下的具體問題。
兩位研究人員解釋道:“關于FBI:你們也許正在閱讀本文。如果是這樣,那么你們理想中的狀況已經出現,但這種利用加密后門作為‘安全金鑰匙’的作法非常糟糕!”
“你們真的還不明白?微軟采用了一套‘安全金鑰匙’系統,但愚蠢的微軟自己的鑰匙拱手讓人。現在,你們還能靠什么說服其它廠商使用這種‘安全金鑰匙’策略?除非你們真的智力有問題……”
E句話:這個世界已無法阻擋US的偷窺欲!
京公網安備 11010502049343號