跳过内容 一周倒计时 您需要了解关于保护您计算机启动顺序的密钥到期的信息。图片来源：Getty Images 对于Windows和Linux用户来说，更新保护系统免受固件基础UEFI感染的加密密钥的时间所剩无几，UEFI感染是一种在操作系统和反恶意软件保护启动之前加载的恶意软件。自6月24日起，验证每个在系统启动期间加载的固件和软件的三个证书将到期。这些由微软签署的证书是安全启动的关键，安全启动是微软设计的一条信任链。安全启动检查在系统启动期间加载的所有代码的数字签名，以确保其来自受信任的提供商，例如运行系统的主板制造商。安全启动旨在阻止启动套件，这是一种在初始启动序列期间更改加载固件和软件的系统的恶意软件。由于启动套件在操作系统和大多数其他代码之前加载，因此它们可能难以被检测。一旦安装，启动套件通常会向操作系统加载窃取凭据、后门系统或执行其他恶意操作的恶意软件。即使操作系统被消毒，启动套件也可以再次感染系统。启动套件也可以在操作系统重装后存活。 启动套件简要历史 启动套件的起源可以追溯到1980年代早期，当时创建了几种在启动过程中针对Apple II机器的恶意软件。它们通过包含盗版游戏的软盘在野外传播。2000年代初，Windows启动套件引起了人们的注意，作为攻击性安全研究人员开发的概念证明。 BootRoot是在2005年黑帽安全会议上演示的启动套件，可能是第一个这样的实例。该恶意软件感染了网络驱动接口，简化了网络协议驱动程序之间的通信，启用了TCP/IP网络适配器驱动程序等服务。在随后的几年里，类似的概念证明包括Vbootkit、Stoned Bootkit和Mebroot等。还有很多其他案例。2012年，演示了一种新的启动套件。这样的启动套件通过感染EFI攻击Mac OS X系统，该EFI是一套启动过程所需的固件包。另一个非常原始的启动套件通过感染UEFI（UEFI的前身）针对Windows 8机器。大约在2013年，一名研究人员演示了一种名为Dreamboat的更先进的适用于Windows的UEFI启动套件。2018年出现了第一个真实世界针对UEFI的攻击案例，称为LoJax。这是一个合法反盗窃软件LoJack的重制版本，是由克里姆林宫支持的黑客组织创建的，其名称包括Sednit、Fancy Bear和APT 28。该恶意软件是遥控安装的，使用可以读取和覆盖UEFI固件闪存部分的恶意软件工具。2020年，研究人员发现了第二个已知的真实世界恶意软件攻击UEFI的实例。每当感染的设备重启时，其UEFI会检查Windows启动文件夹中是否存在恶意文件，如果没有，则安装它。发现该恶意软件的安全供应商卡巴斯基的研究人员将其命名为“MosaicRegressor”。研究人员尚未确定受到感染的UEFI是如何被感染的。从那时起，一些新的UEFI启动套件相继浮出水面，它们的名称包括ESpecter、FinSpy和MoonBounce。 必要性推动发明 为应对这些威胁，微软与设备制造商合作开发了安全启动，这是一个行业标准，使用加密签名确保每个在启动过程中加载的软件都受到计算机制造商的信任。安全启动旨在建立一条信任链，防止攻击者用恶意固件替换预期的启动固件。如果启动链中的一个链接未被识别，安全启动将阻止设备启动。然后在2023年，研究人员发现了LogoFail，这是一系列在世界上几乎每台Windows和Linux系统的UEFI中发现的关键漏洞。软件中在启动时呈现硬件制造商标志的图像解析错误使攻击者能够绕过安全启动并用恶意固件感染UEFI。LogoFail的发现使微软需要用新的加密签名替换现有的安全启动基础签名。三个旧签名，日期为2011年，正在被移除。取而代之的是2023年日期的签名。微软正在更新Windows 10和Windows 11机器，Linux发行版也正在更新“shim”，一种小型的第一阶段UEFI引导加载程序，在安全启动密钥和Linux引导加载程序之间充当受信任的桥梁。未能成功的机器