遗忘的 UEFI 垫片会破坏安全启动

ESET 研究人员发现了 11 个由 Microsoft 签名的易受攻击的 UEFI shim 引导加载程序,攻击者可以利用这些漏洞绕过 UEFI 安全启动

来源:WeLiveSecurity _恶意软件

ESET 研究人员发现了 11 个旧的和被遗忘的 UEFI shim 引导加载程序,版本为 0.9 及更低版本,可用于在任何信任 Microsoft 公司的 Microsoft Corporation UEFI CA 2011 第三方 UEFI 证书颁发机构 (CA) 证书的基于 UEFI 的计算机上绕过 UEFI 安全启动,无论安装的操作系统 (OS) 是什么。报告的填充程序可被利用在系统启动期间执行不受信任的代码,使攻击者能够部署恶意 UEFI bootkit(例如 Bootkitty、HybridPetya 或 BlackLotus),甚至在启用了 UEFI 安全启动的系统上也是如此。我们于 2026 年 2 月向 CERT/CC 报告了我们的发现,并且在 Microsoft 的 2026 年 6 月 9 日补丁星期二撤销了易受攻击的 UEFI 应用程序。

虽然为该案例分配了两个 CVE ID(CVE-2026-8863 和 CVE-2026-10797)来覆盖报告的垫片,但对每个报告的垫片的利用不仅仅是可以在这些旧垫片中直接找到的一两个错误。事实上,攻击面由 shim 的可信第二阶段引导加载程序(主要是 GRUB 2)扩展,这些引导加载程序(与 shim 本身一样)可能包括具有已知漏洞的过时版本。发现的垫片来自各种工具或软件包,包括 PC 诊断软件、Linux 发行版和其他基于 UEFI 的实用程序。重要的是,利用并不限于安装了受影响软件或操作系统的系统,因为攻击者可以将自己的易受攻击的 shim 副本带到任何注册了 Microsoft 第三方 UEFI 证书的 UEFI 系统中。

CERT/CC 的漏洞说明中提供了依赖所报告的填充程序的软件产品及其受影响版本的完整列表。根据 ESET 研究人员的报告,具有以下 PE Authenticode 哈希值的 UEFI shim 引导加载程序在 dbx 更新中被撤销,该更新是 Microsoft 6 月 9 日周二补丁的一部分:

  • AE75F0D82BA3DF824FBFC69340CC3B4D66C598373B1AB54CDB6C8BFD83A6B961
  • 7B2A3F5C96F95BD8086CE54B0825E300F9C8F11FE3401BB631B3215C8DE9EB10
  • 结论

    IoC