近年来不时有骇客针对UEFI开机系统下手,打造恶意程式发动攻击,从而绕过作业系统与端点防护机制的侦测,一旦UEFI韧体存在相关漏洞,就有可能成为骇客利用的对象,使得资安圈越来越关切、挖掘这类弱点。
本周有两项与UEFI有关的漏洞揭露,其中又以值得留意的是,上述手法植入的恶意软体与Rookit,使用者无法透过重开机或是重灌作业系统清除,甚至能够成功回避EDR系统的侦测,或是在该系统载入之前完全停用。
另一项能绕过安全开机的漏洞,是由资安业者Binarly找到的针对这项漏洞发现的过程,Binarly指出是他们在恶意软体分析平台VirusTotal找到存在弱点的UEFI应用程式,此工具原专为特定厂牌的电脑设计,但由于其中的特定模组采用了广泛信任的Microsoft Corporation UEFI CA 2011金钥签署,而能在大多数电脑上运作。漏洞形成的原因也与NVRAM有关,上述模组从NVRAM变数IhisiParamBuffer读取资料后,未进行验证就当作记忆体指标使用,导致攻击者可控制写入任意记忆体位置。