统一可扩展固件接口 ( UEFI ) 漏洞利用曾经被认为只是理论上的可能性,但如今却变得越来越普遍,其威胁也与日俱增。UEFI 规范引入了一些功能,旨在创建一个能够抵御攻击的强大固件平台。然而,任何给定的 UEFI 实现中都必然存在漏洞,这为试图利用漏洞的攻击者提供了可乘之机。这种威胁日益增长的证据显而易见,卡巴斯基最近检测到了第三起名为MoonBounce的 UEFI 固件级入侵案例。
为什么UEFI固件漏洞如此危险?
在探讨以往的漏洞利用和可能的应对措施之前,至关重要的是要了解为什么 UEFI 漏洞利用是最危险的威胁类型之一:
- UEFI 固件对操作系统 (OS) 内核具有更高的访问权限,这意味着任何 UEFI 漏洞都可以更改操作系统可执行文件和文件系统。
- 恢复到黄金镜像也不可行。UEFI 镜像存储在主板上的非易失性存储器 SPI 闪存中,因此无法从 SSD/HDD 格式的源进行恢复。
- 此外,由于安装在 SPI 闪存中的任何恶意代码都无法删除,因此重新安装操作系统只会重新激活漏洞。
UEFI Rootkit 的最新演进——MoonBounce
高级持续性威胁 (APT) 组织,例如中国的 APT41 和俄罗斯的 APT28,一直是 UEFI 漏洞利用的先驱。2018 年,首个在实际环境中检测到的 UEFI rootkit 是 APT28 的LoJax rootkit。2020 年,一个疑似中国 APT 组织在其MosaicRegressor恶意软件中利用了 UEFI rootkit。这两个漏洞都利用了经过修改的 UEFI 镜像,其中包含额外的 UEFI 模块来执行攻击。据卡巴斯基实验室称,MoonBounce 恶意软件是由 APT41 创建的。APT41 的攻击并非通过创建新组件,而是通过修改现有的 UEFI 组件来实现的,这使得当前的安全软件几乎无法检测到。此类基于固件的 rootkit 攻击的目标类似,都是在用户空间安装恶意软件加载程序,以便与攻击者的命令与控制 (C&C) 服务器通信并安装其他恶意软件。BIOS 固件向开放式设计的演变只会助长和增强恶意攻击者的作恶能力。进一步增强攻击者攻击手段的是BIOS固件向开源软件(OSS)开发模式的转变。这种模式可能使黑客能够利用OSS中未加缓解的漏洞,或将恶意代码注入项目本身。这两种情况都提供了潜在的攻击途径,容易被后续利用。UEFI安全启动、Intel® Boot Guard和AMD平台安全处理器(PSP)等技术进步有助于缓解UEFI威胁,但它们也存在一些局限性。这些应对措施可以检测到固件何时被篡改,但无法恢复被篡改固件所在的系统。这种局限性可能会导致数据中心出现大规模停机,因为需要手动恢复固件——如果恢复可行的话。同样,使用可信平台模块(TPM)的测量启动也存在局限性。虽然远程认证可以检测到固件入侵,但修复仍然需要人工干预才能缓解攻击。
保护平台免受 UEFI 固件漏洞攻击
防止 UEFI 固件漏洞利用需要安全启动。这意味着系统必须以未篡改的 UEFI/BIOS 固件和受信任的基板管理控制器 (BMC) 固件(如适用)启动。系统还必须检测运行时漏洞利用尝试并防御此类攻击。平台安全的这两个方面都需要对 BIOS 和 BMC 有深入的专业知识。AMI 凭借其在 BIOS 和 BMC 固件开发领域 35 年的深厚经验,满足了上述两项要求,并提供了强大的Tektagon™ XFR 平台固件恢复(PFR) 解决方案。Tektagon XFR 为板载固件组件提供平台信任根 (PRoT),用于检测、保护固件,并在必要时从未经授权的修改中恢复固件。通过协调信任根与其他固件组件之间的连接,Tektagon XFR 可以提供高级功能,使 AMI 的 PRoT 解决方案脱颖而出。在本例中,Tektagon XFR 可以轻松消除系统中的 MoonBounce 攻击。它会在开机过程中检测到闪存内容被篡改,并触发从已知良好镜像自动恢复。要了解更多关于Tektagon XFR 平台弹性固件解决方案的固件安全信息,请访问ami.com/tektagon并通过ami.com/contact 联系我们。此处提及的所有商标和注册商标均为其各自所有者在美国和其他国家/地区的财产。
