Сегодня 15 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Защиту Microsoft Secure Boot взломали десять лет назад, но заметили это только сейчас

Microsoft 14 лет назад предложила защитить Windows от буткитов — средств заражения ОС через прошивку материнской платы — при помощи технологии Secure Boot, которую вскоре переняла и Linux. На практике, однако, эта защита оказалась неэффективной: эксперты ESET обнаружили 11 скомпрометированных загрузочных компонентов, которые оставались подписанными Microsoft.

 Источник изображения: welivesecurity.com

Источник изображения: welivesecurity.com

Эти компоненты известны как shim («прослойки»), и предназначаются они для работы Secure Boot на компьютерах под управлением Linux. Несколько старых, забытых экземпляров злоумышленники могут использовать для обхода защиты UEFI (Unified Extensible Firmware Interface) на материнской плате ПК. Проблема возникла из-за того, что контролирующая подписание shim компания Microsoft не потрудилась своевременно отозвать экземпляры, в которых возникли уязвимости. Угроза распространяется на Windows и Linux, потому что shim могут устанавливаться на машины под управлением обеих систем — гипотетический злоумышленник может установить на материнскую плату вредоносный компонент, который запускается на ранней стадии процесса загрузки и продолжает работать после переустановки ОС или замены системного диска. Проблема в том, подчёркивают в ESET, что для обхода защиты UEFI Secure Boot не требуется никакой новой уязвимости — «только копия старого, всё ещё доверенного и не отозванного бинарного файла shim и базовое понимание работы shim UEFI».

Некоторые из 11 экземпляров использовались разработчиками дистрибутивов Linux, в том числе Redhat, OpenSuse и Oracle, а также разработчиками ПО, в том числе PC-Doctor и даже организатором выпускных экзаменов в Финляндии. Если Secure Boot взаимодействует с Windows напрямую, то shim подписываются только Microsoft, которая должна их и отзывать. Эти механизмы реализованы с помощью двух баз данных: в базе db перечислены все разрешённые сертификаты подписи и хеши Authenticode; в базе dbx — те, которым больше не доверяют. Но, поскольку размер последней составляет всего 32 кбайт, то в Microsoft решили указывать не хеши, а номера версий компонентов.

Чтобы не хранить огромный список запрещённых файлов, был введён механизм минимальной допустимой версии (SBAT). Современные shim могут проверять собственную версию и версии всех загружаемых компонентов, отказываясь запускать слишком старые. Обнаруженная экспертами ESET проблема в том, что многие из них были созданы до появления этих механизмов или содержали иные известные уязвимости — Microsoft же годами не отзывала их, и UEFI продолжали считать их доверенными.

Проблему удалось решить в последних обновлениях. В случае Windows 11 оно вышло только в июне. В случае Linux всё немного сложнее, потому что дистрибутивы разрабатывают несколько поставщиков — рекомендуется обращаться к ним: актуальные статусы отозванных shim доступны при запуске скрипта «uefi-dbx-audit».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Microsoft станет реже пересматривать цены в местной валюте на облачные продукты 7 мин.
PayPal предложили купить за $53 миллиарда 59 мин.
Скоростной лыжный хоррор-шутер Dieathlon отправит игроков в смертельный слалом — первый трейлер и подробности 3 ч.
Разработчик Warhammer 40,000: Space Marine 3 и Jurassic Park: Survival доверил развитие бизнеса бывшему боссу Epic Games Store 5 ч.
Epic Games победила: Google впустит сторонние магазины приложений в «Play Маркет» уже 22 июля 6 ч.
Microsoft закрыла 570 дыр в Windows 11 и разрешила бесконечно откладывать обновления 6 ч.
Флагманская ИИ-модель OpenAI GPT-5.6 Sol стала самовольно удалять файлы пользователей 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
РТК-ЦОД сертифицировал инфраструктуру «Облака КИИ» по международному стандарту безопасности платежных карт PCI DSS 7 ч.
Жалуются, но всё равно покупают: скандальные DLC для Assassin’s Creed Black Flag Resynced стали хитом продаж 8 ч.
Palit представила видеокарту GeForce RTX 3060 Infinity 2 OC на пятилетнем GPU 4 мин.
Бум ИИ разгонит рынок оборудования для выпуска чипов до рекордных $230 млрд к 2028 году 8 мин.
В обход FLAPD: Pure DC запустит в Финляндии 550-МВт ИИ ЦОД стоимостью €7,5 млрд 27 мин.
SpaceX выполнила 600-й повторный запуск первой ступени Falcon 9 в космос 55 мин.
Google призналась, что стоит за проектом гигаваттного ИИ ЦОД в Вайоминге, который будет потреблять больше энергии, чем все дома штата 2 ч.
Нью-Йорк стал первым штатом США, утвердившим временный мораторий на строительство ЦОД мощностью более 50 МВт 2 ч.
Россия и США договорились летать на МКС до 2030 года, обсудили координацию спутников и лунные программы 2 ч.
Топливный кризис ускорил внедрение электрических такси в Китае 2 ч.
Беспилотным тягачам поручат перевозку багажа в российских аэропортах 2 ч.
Samsung больше нечего скрывать: все новинки грядущей Galaxy Unpacked утекли в Сеть 5 ч.