Nội dung bài viết
Những điều bạn cần biết về việc hết hạn của các khóa đảm bảo trình tự khởi động máy của bạn.
Đã đến lúc người dùng Windows và Linux phải cập nhật các khóa mật mã để bảo vệ hệ thống của họ khỏi bị lây nhiễm UEFI dựa trên chương trình cơ sở, một dạng phần mềm độc hại nguy hiểm tải trước khi hệ điều hành và các biện pháp bảo vệ chống phần mềm độc hại bắt đầu.
Bắt đầu từ ngày 24 tháng 6, ba chứng chỉ xác minh bằng mật mã rằng mỗi phần chương trình cơ sở và phần mềm tải trong quá trình khởi động hệ thống sẽ hết hạn. Các chứng chỉ do Microsoft ký là cốt lõi của Secure Boot, một chuỗi tin cậy do Microsoft thiết kế.
Khởi động an toàn kiểm tra chữ ký số của tất cả mã tải trong quá trình khởi động hệ thống để đảm bảo mã đó có nguồn gốc từ nhà cung cấp đáng tin cậy, chẳng hạn như nhà sản xuất bo mạch chủ mà hệ thống chạy trên đó.
Secure Boot được thiết kế để ngăn chặn bootkit, một dạng phần mềm độc hại làm thay đổi hệ thống chịu trách nhiệm tải chương trình cơ sở và phần mềm trong trình tự khởi động ban đầu. Vì bootkit tải trước hệ điều hành và hầu hết các mã khác nên chúng có thể khó bị phát hiện.
Sau khi được cài đặt, chúng thường tải phần mềm độc hại vào hệ điều hành để đánh cắp thông tin xác thực, tạo cửa hậu cho hệ thống hoặc thực hiện các hành động độc hại khác. Ngay cả khi e Hệ điều hành được khử trùng, bootkit có thể lây nhiễm lại hệ thống.
Bootkit cũng tồn tại sau khi cài đặt lại hệ điều hành. Nguồn gốc của bootkit bắt nguồn từ đầu những năm 1980 với việc tạo ra một số phần mềm độc hại nhắm vào máy Apple II trong quá trình khởi động.
Chúng lây lan rộng rãi thông qua các đĩa mềm có vẻ như chứa các trò chơi lậu. Bộ công cụ khởi động Windows đã được chú ý vào đầu những năm 2000 như là bằng chứng về khái niệm được phát triển bởi các nhà nghiên cứu về bảo mật tấn công.
BootRoot, một bootkit được giới thiệu tại hội nghị bảo mật Black Hat năm 2005, có thể là trường hợp đầu tiên như vậy.
Phần mềm độc hại đã lây nhiễm Giao diện trình điều khiển mạng, giúp hợp lý hóa hoạt động liên lạc giữa các trình điều khiển giao thức mạng cho phép dịch vụ như trình điều khiển bộ điều hợp mạng TCP/IP. Trong những năm tiếp theo, các PoC tương tự bao gồm Vbootkit, Stoned Bootkit và Mebroot.
Còn rất nhiều nữa. Vào năm 2012, một dạng bootkit mới đã được trình diễn.
Thay vì nhắm mục tiêu vào các máy thông qua BIOS hoặc bản ghi khởi động chính, một bộ khởi động như vậy đã tấn công các hệ thống Mac OS X bằng cách lây nhiễm EFI, một gói chương trình cơ sở bắt đầu quá trình khởi động.
Bộ khởi động rất thô sơ thứ hai nhắm vào các máy Windows 8 bằng cách lây nhiễm bộ khởi động UEFI, tiền thân của UEFI. Vào khoảng năm 2013, một nhà nghiên cứu đã trình diễn bộ khởi động UEFI tiên tiến hơn dành cho Windows có tên Dreamboat.
Trường hợp đầu tiên được biết đến về một cuộc tấn công trong thế giới thực nhắm vào UEFI xảy ra vào năm 2018 với việc phát hiện ra phần mềm độc hại có tên LoJax.
Là phiên bản tái sử dụng của phần mềm chống trộm hợp pháp có tên LoJack, nó được tạo ra bởi nhóm hack được Điện Kremlin hậu thuẫn, theo dõi dưới các tên bao gồm Sednit, Fancy Bear và APT 28.
Phần mềm độc hại được cài đặt từ xa bằng cách sử dụng các công cụ phần mềm độc hại có thể đọc và ghi đè các phần bộ nhớ flash của chương trình cơ sở UEFI. Vào năm 2020, các nhà nghiên cứu đã phát hiện ra trường hợp thứ hai về phần mềm độc hại trong thế giới thực tấn công UEFI.
Mỗi khi thiết bị bị nhiễm khởi động lại, UEFI của nó sẽ kiểm tra xem có tệp độc hại nào trong thư mục khởi động Windows hay không và nếu không thì sẽ cài đặt tệp đó. Các nhà nghiên cứu từ Kaspersky, nhà cung cấp bảo mật đã phát hiện ra phần mềm độc hại, đã đặt tên cho nó là “MosaicRegressor”.
Các nhà nghiên cứu vẫn chưa xác định được UEFI bị xâm nhập bị lây nhiễm như thế nào. Kể từ đó, một số bộ khởi động UEFI mới đã được đưa ra ánh sáng.
Chúng được theo dõi dưới những cái tên bao gồm ESpecter, FinSpy và MoonBounce.
Để đối phó với các mối đe dọa, Microsoft đã làm việc với các nhà sản xuất thiết bị để phát triển Khởi động an toàn, một tiêu chuẩn toàn ngành sử dụng chữ ký mã hóa để đảm bảo rằng mỗi phần mềm được tải trong quá trình khởi động đều được nhà sản xuất máy tính tin cậy.
Khởi động an toàn được thiết kế để tạo ra một chuỗi tin cậy nhằm ngăn chặn kẻ tấn công thay thế chương trình cơ sở khởi động dự định bằng chương trình cơ sở độc hại. Nếu một liên kết duy nhất trong chuỗi khởi động không được nhận dạng, Khởi động an toàn sẽ ngăn thiết bị khởi động.
Sau đó, vào năm 2023, các nhà nghiên cứu đã phát hiện ra LogoFail, một loạt lỗ hổng nghiêm trọng cho thấy UEFI có thể khởi động hầu hết mọi hệ thống Windows và Linux trên thế giới.
Một lỗi phân tích hình ảnh trong phần mềm hiển thị logo của nhà sản xuất phần cứng trong quá trình khởi động đã cho phép kẻ tấn công vượt qua Secure Boot và lây nhiễm phần mềm độc hại vào UEFI.
Việc phát hiện ra LogoFail yêu cầu Microsoft phải thay thế các chữ ký mật mã hiện có làm nền tảng cho Khởi động an toàn bằng các chữ ký mới. Ba chữ ký cũ hơn, ghi ngày 2011, đang bị xóa.
Thay vào đó là những chiếc có niên đại 2023. Microsoft đang trong quá trình cập nhật các máy Windows 10 và Windows 11.
Các nhà phân phối Linux cũng đang trong quá trình cập nhật “Shims”, một bộ tải khởi động UEFI nhỏ, giai đoạn đầu, hoạt động như một cầu nối rỉ sét giữa các khóa Khởi động an toàn và bộ tải khởi động Linux.
Những máy không cập nhật các khóa liên quan đến Khởi động an toàn sẽ tiếp tục hoạt động nhưng chúng sẽ không còn được bảo vệ trước các mối đe dọa UEFI mới nữa. Nói rõ hơn, họ vốn đã dễ bị tổn thương trước các mối đe dọa UEFI mới khai thác lỗ hổng LogoFail trên toàn ngành.
Việc làm mới khóa được thiết kế để giảm thiểu rủi ro đó và ngăn chặn các cuộc tấn công UEFI không liên quan có thể phát sinh trong tương lai. Để kiểm tra trạng thái của các phím trên máy Windows, người dùng có thể mở cài đặt Windows Security > Device Security > Secure Boot.
Dấu kiểm màu xanh lá cây có nghĩa là quá trình cập nhật đã hoàn tất. Hầu hết các máy Windows đều tự động cập nhật khóa trong quá trình phân phối bản vá định kỳ hàng tháng, nhưng các máy cũ hơn có thể cần được chú ý theo cách thủ công.
Người dùng Linux nên theo dõi việc phát hành các miếng chêm mới. Nếu có thể, người dùng nên tạm dừng cài đặt các bản cập nhật chương trình cơ sở bo mạch chủ mới cho đến khi các chứng chỉ mới được thay thế.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin ation.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.