Windows 和 Linux 用户需要更新其系统的加密证书,因为用于保护 UEFI 安全启动(Secure Boot)的三个旧证书将于 6 月 24 日到期。如果不进行更新,设备虽然仍能正常运行,但将失去对利用新型漏洞(如 LogoFail)的固件木马的防护。微软和 Linux 发行版正在通过补丁更新来解决此问题,以确保启动过程的安全性。
什么是安全启动 (Secure Boot)?
安全启动是一种行业标准,旨在通过验证启动过程中加载的每个固件和软件的数字签名来保护您的计算机。它就像一个信任链,确保所有组件都来自可信的来源。
- 主要目标: 阻止 UEFI 引导包 (bootkits) 的感染。
- 工作原理: 如果启动链中的任何一个环节签名无效或不受信任,安全启动会阻止设备启动,以防被恶意软件控制。
- 为何重要: 引导包是一种极其危险的恶意软件,它在操作系统和杀毒软件启动之前就加载运行,因此极难被检测和清除。即使重装系统,它也可能存活下来。
引导包可以窃取凭据、为系统开设后门,或执行其他恶意操作。一旦感染,它能持续地重新感染已被清理的操作系统。
威胁的演变
针对系统启动过程的攻击并非新鲜事,但其复杂性和危险性在不断升级。
- 早期 (1980年代): 针对 Apple II 电脑的软盘病毒。
- 中期 (2000年代): 出现了针对 Windows 的概念验证型引导包,如 BootRoot。
- UEFI 时代: 随着 UEFI 取代传统 BIOS,攻击也转向了这一新平台。
- LoJax (2018): 第一个在野外被发现的 UEFI 恶意软件,由俄罗斯黑客组织使用。
- 后续发现: 近年来,又出现了如 MosaicRegressor、ESpecter 和 MoonBounce 等多个 UEFI 引导包。
LogoFail 漏洞与证书更新的必要性
2023 年发现的 LogoFail 漏洞暴露了几乎所有 Windows 和 Linux 系统的广泛风险。
这个漏洞利用了在系统启动时显示制造商徽标的图像解析软件中的一个错误,允许攻击者绕过安全启动并用恶意固件感染 UEFI。
为了应对这一威胁,微软必须替换现有安全启动机制所依赖的加密签名。
- 旧签名: 三个即将于 6 月 24 日到期的证书,其签发日期为 2011 年。
- 新签名: 取而代之的是签发日期为 2023 年的新证书。
用户需要做什么?
未能及时更新密钥的设备将无法防御利用 LogoFail 等新漏洞发起的攻击。
您的设备将继续正常工作,但它会失去对新型 UEFI 威胁的防护能力。这次密钥更新正是为了降低这种风险。
Windows 用户:
- 大多数 Windows 10 和 Windows 11 设备会通过每月的常规补丁自动更新密钥。
- 要检查更新状态,可以打开 Windows 安全中心 > 设备安全性 > 安全启动。如果看到绿色的对勾,说明更新已完成。
- 较旧的设备可能需要手动操作或检查固件更新。
Linux 用户:
- 需要留意您的 Linux 发行版发布的 “shim” 更新。这是一个小型的引导加载程序,用于连接安全启动密钥和 Linux 引导程序。
微软建议所有用户保持固件为最新版本,因为这有助于确保安全启动证书能够顺利更新。