UEFI再次出現安全漏洞可利用PXE遠端下載惡意韌體並植入後門程式
UEFI 即統一可擴展韌體介面的縮寫,這是現代電腦普遍採用的一種技術,然而這種底層技術一旦出現漏洞也是很糟糕的,因為透過UEFI 植入的後門程式並不容易檢測、也不容易清除。日前有研究人員發現五家供應商的UEFI 韌體有九個漏洞,這些漏洞被研究人員統稱為PixieFail,即使權限很低的用戶也可以利用漏洞展開攻擊。
成功展開攻擊的駭客將可以安裝惡意韌體,從而在作業系統啟動之前就提前運行惡意軟體,不過這個漏洞主要影響的還是企業和資料中心。
基於IPv6 的PXE 啟動:
PXE 是企業用來啟動大量設備的一種方法,PXE 並不是將作業系統儲存在設備上,相反系統映像會被儲存在啟動伺服器上,終端設備透過PXE 連接啟動伺服器從而啟動作業系統。
PXE 專為資料中心、雲端環境內的易用性、一致性和品質保證而設計,IT 管理員可以用來大量更新、設定、啟動作業系統。
這次出現的漏洞就是在PXE 中,在已經配置IPv6 連線啟動伺服器的情況下,攻擊者利用漏洞可以下載惡意韌體映像而非IT 管理員配置的韌體映像。
一旦植入到UEFI 後惡意軟體就可以實現持久化,因為常規的安全軟體可能無法偵測到UEFI 被感染,或被偵測到無法清除。
研究人員稱:
攻擊者不需要對終端設備和啟動伺服器進行實體訪問,攻擊者只要能夠存取這些系統運行的網路並配合工具捕獲資料包,然後再進行注入和傳輸即可。
當終端設備啟動時攻擊者在請求回應中向客戶端發送惡意資料包,這可以觸發其中一些漏洞。
禁用PXE 和IPv6:
對於該漏洞一個比較容易的防範辦法就是直接停用PXE 啟動和IPv6,對於多數家庭用戶來說基本上不會使用PXE,因此可以直接停用。
另外此漏洞只影響透過IPv6 連線的啟動伺服器,如果企業或資料中心使用IPv4 連線那也不會受影響。
修復漏洞:
目前UEFI 韌體供應商正在陸續製作新版本韌體分發給客戶,例如AMI 確認漏洞影響Optio V 系列韌體,目前已經製作新版韌體分發給客戶。
其他韌體提供者也正在更新韌體中,受影響的韌體提供者包括:Arm Ltd.、Insyde、AMI、Phoenix Technologies、Microsoft。
微軟的回應:
微軟稱該公司正在採取適當的行動,不過微軟並未透露行動的具體內容。同時微軟也錯誤地表示攻擊者還需要在企業內部網路中建立惡意伺服器,但研究人員稱並不需要。
最後微軟也建議如果不使用PXE 或其他協議那應該停用,如果要使用也應該配置TLS 加密協議,這樣可以阻止攻擊者進行中間人劫持。