美國電腦安全緊急應變團隊協調中心 CERT/CC 日前發出警告,指部分 UEFI 實作存在漏洞,讓惡意分子可以在系統管理模式 (SMM) 下獲得本機的管理員權限,以執行任意程式碼。
UEFI 作為操作系統和裝置硬件之間的軟件介面,使用比核心權限更高的 CPU 模式——SMM 模式——來直接與硬件溝通,而操作系統亦不知道或紀錄系統何時進入了 SMM 模式。SMM 處理程序是在專用的 SMRAM 系統管理記憶領域中進行。
今次的漏洞就是基於對 SMRAM 的權限驗證不足,讓擁有攻擊者有機會利用 DMA 時序攻擊手法來改寫 SMRAM 內容,從而執行任意程式碼的,繞過 SecureBoot 等安全機制來提升至高於操作系統的權限,安裝惡意程式,開設後門,也可以令系統無法正常啟動。
攻擊者亦可以利用有漏洞的系統管理中斷 (SMI) 處理器在操作系統發動攻擊。更可怕的是在特定情況下,這個漏洞可在 UEFI 早起期啟動階段,包括休眠模式或恢復模式下觸發,早於操作系統完全起動。
據 CERT/CC 表示,現時受影響的 UEFI 產品,包括 AMI、Dell、Hewlett Packard Enterprise (HPE)、Insyde Software Corporation 和 Intel 的產品,而 AMD 、 Phoenix Technologies 和 Toshiba 則未發現漏洞,至於港人熱門的產品如 Acer、AsusTeK、GIGABYTE、Lenovo、Microsoft 和 MSI 等就有待檢證。
他們呼籲用戶應該立即安裝最新穩定版本的 UEFI 靭體來修復問題。