美國電腦安全緊急應變團隊協調中心 CERT/CC 日前發出警告,指部分 UEFI 實作存在漏洞,讓惡意分子可以在系統管理模式 (SMM) 下獲得本機的管理員權限,以執行任意程式碼。
UEFI 作為操作系統和裝置硬件之間的軟件介面,使用比核心權限更高的 CPU 模式——SMM 模式——來直接與硬件溝通,而操作系統亦不知道或紀錄系統何時進入了 SMM 模式。SMM 處理程序是在專用的 SMRAM 系統管理記憶領域中進行。
今次的漏洞就是基於對 SMRAM 的權限驗證不足,讓擁有攻擊者有機會利用 DMA 時序攻擊手法來改寫 SMRAM 內容,從而執行任意程式碼的,繞過 SecureBoot 等安全機制來提升至高於操作系統的權限,安裝惡意程式,開設後門,也可以令系統無法正常啟動。
攻擊者亦可以利用有漏洞的系統管理中斷 (SMI) 處理器在操作系統發動攻擊。更可怕的是在特定情況下,這個漏洞可在 UEFI 早起期啟動階段,包括休眠模式或恢復模式下觸發,早於操作系統完全起動。
據 CERT/CC 表示,現時受影響的 UEFI 產品,包括 AMI、Dell、Hewlett Packard Enterprise (HPE)、Insyde Software Corporation 和 Intel 的產品,而 AMD 、 Phoenix Technologies 和 Toshiba 則未發現漏洞,至於港人熱門的產品如 Acer、AsusTeK、GIGABYTE、Lenovo、Microsoft 和 MSI 等就有待檢證。
他們呼籲用戶應該立即安裝最新穩定版本的 UEFI 靭體來修復問題。
%20%E4%B8%8B%E7%8D%B2%E5%BE%97%E6%9C%AC%E6%A9%9F%E7%9A%84%E7%AE%A1%E7%90%86%E5%93%A1%E6%AC%8A%E9%99%90%EF%BC%8C%E4%BB%A5%E5%9F%B7%E8%A1%8C%E4%BB%BB%E6%84%8F%E7%A8%8B%E5%BC%8F%E7%A2%BC%E3%80%82){kind=link}