桑間濮上網(wǎng)UEFI再次出現(xiàn)安全漏洞 可利用PXE遠(yuǎn)程下載惡意固件從而植入后門程序 – 藍(lán)點(diǎn)網(wǎng)
UEFI 即統(tǒng)一可擴(kuò)展固件接口的再次植入縮寫,這是出現(xiàn)從而程序現(xiàn)代計(jì)算機(jī)普遍采用的一種技術(shù),然而這種底層技術(shù)一旦出現(xiàn)漏洞也是安全鄭州(全套服務(wù))上門服務(wù)【電話微信1662+044-1662】提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)很糟糕的,因?yàn)橥ㄟ^ UEFI 植入的漏洞藍(lán)點(diǎn)后門程序并不容易檢測、也不容易清除。可利
日前有研究人員發(fā)現(xiàn)五家提供商的用P遠(yuǎn)程 UEFI 固件存在九個(gè)漏洞,這些漏洞被研究人員統(tǒng)稱為 PixieFail,下載即便權(quán)限很低的惡意用戶也可以利用漏洞展開攻擊。
成功展開攻擊的固件黑客將可以安裝惡意固件,從而在操作系統(tǒng)啟動(dòng)之前就提前運(yùn)行惡意軟件,后門不過這個(gè)漏洞主要影響的再次植入還是企業(yè)和數(shù)據(jù)中心。
基于 IPv6 的出現(xiàn)從而程序 PXE 啟動(dòng):
PXE 是企業(yè)用來啟動(dòng)大量設(shè)備的一種方法,PXE 并不是安全鄭州(全套服務(wù))上門服務(wù)【電話微信1662+044-1662】提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)將操作系統(tǒng)存儲(chǔ)在設(shè)備上,相反系統(tǒng)映像會(huì)被存儲(chǔ)在啟動(dòng)服務(wù)器上,漏洞藍(lán)點(diǎn)終端設(shè)備通過 PXE 連接啟動(dòng)服務(wù)器從而啟動(dòng)操作系統(tǒng)。可利
PXE 專門為數(shù)據(jù)中心、云環(huán)境內(nèi)的易用性、一致性和質(zhì)量保證而設(shè)計(jì),IT 管理員可以用來批量更新、配置、啟動(dòng)操作系統(tǒng)。
此次出現(xiàn)的漏洞就是在 PXE 中,在已經(jīng)配置 IPv6 連接啟動(dòng)服務(wù)器的情況下,攻擊者利用漏洞可以下載惡意固件映像而不是 IT 管理員配置的固件映像。
一旦植入到 UEFI 后惡意軟件就可以實(shí)現(xiàn)持久化,因?yàn)槌R?guī)的安全軟件可能無法檢測到 UEFI 被感染,或者被檢測到無法清除。
研究人員稱:
攻擊者不需要對終端設(shè)備和啟動(dòng)服務(wù)器進(jìn)行物理訪問,攻擊者只要能夠訪問這些系統(tǒng)運(yùn)行的網(wǎng)絡(luò)并配合工具捕獲數(shù)據(jù)包,然后再進(jìn)行注入和傳輸即可。
當(dāng)終端設(shè)備啟動(dòng)時(shí)攻擊者在請求響應(yīng)中向客戶端發(fā)送惡意數(shù)據(jù)包,這就可以觸發(fā)其中一些漏洞。
禁用 PXE 和 IPv6:
對于該漏洞一個(gè)比較容易的防范辦法就是直接禁用 PXE 啟動(dòng)和 IPv6,對于多數(shù)家庭用戶來說基本不會(huì)使用 PXE,因此可以直接禁用。
另外此漏洞只影響通過 IPv6 連接的啟動(dòng)服務(wù)器,如果企業(yè)或數(shù)據(jù)中心使用 IPv4 連接那也不會(huì)受影響。
修復(fù)漏洞:
目前 UEFI 固件提供商正在陸續(xù)制作新版本固件分發(fā)給客戶,例如 AMI 確認(rèn)該漏洞影響 Optio V 系列固件,當(dāng)前已經(jīng)制作新版固件分發(fā)給客戶。
其他固件提供商還在更新固件中,受影響的固件提供商包括:Arm Ltd.、Insyde、AMI、Phoenix Technologies、Microsoft。
微軟的回應(yīng):
微軟稱該公司正在采取適當(dāng)?shù)男袆?dòng),不過微軟并未透露行動(dòng)的具體內(nèi)容。同時(shí)微軟還錯(cuò)誤地表示攻擊者還需要在企業(yè)內(nèi)網(wǎng)中建立惡意服務(wù)器,但研究人員稱并不需要。
最后微軟也建議如果不使用 PXE 或者其他協(xié)議那應(yīng)該禁用,如果要使用也應(yīng)該配置 TLS 加密協(xié)議,這樣可以阻止攻擊者進(jìn)行中間人劫持。
