对于 Windows 和 Linux 用户来说，更新保护其系统免受固件基础 UEFI 感染（这是一种在操作系统和反恶意软件保护开始之前加载的恶意软件形式）的密码密钥的时钟正在滴答作响。 从 6 月 24 日起，三个证书将到期，这些证书以密码形式验证在系统启动期间加载的每个固件和软件。 由 Microsoft 签名的证书是安全启动的关键，是 Microsoft 设计的信任链。 安全启动检查在系统启动期间加载的所有固件的数字签名，以确保其来自可信提供商，例如系统运行的主板制造商。 安全启动旨在阻止 UEFI 启动工具包，这是一种恶意软件形式，改变统一可扩展固件接口（Unified Extensible Firmware Interface），也就是 BIOS 的继任者，这些接口都开始初始启动序列。 由于这些启动工具包在操作系统和大多数其他代码之前加载，因此它们可能很难被检测到。 一旦被安装，它们通常会在操作系统上加载恶意软件，以窃取凭证、建立后门或执行其他恶意操作。 即使操作系统被消毒，启动工具包也可以重新感染系统。 启动工具包在操作系统重装后也能存活。 启动工具包的简史 启动工具包的起源可以追溯到 1980 年代初期，当时创建了几种针对 Apple II 机器启动过程的恶意软件。 它们通过声称含有盗版游戏的软盘在野外传播。 Windows 启动工具包在 2000 年代初期引起注意，作为进攻性安全研究人员开发的概念证明（PoC）。 在 2005 年 Black Hat 安全会议上演示的 BootRoot 可能是首个此类实例。 此恶意软件感染了网络驱动程序接口，这简化了网络协议驱动程序之间的通信，使 TCP/IP 网络适配器驱动程序等服务成为可能。 在接下来的几年中，类似的概念证明包括 Vbootkit、Stoned Bootkit 和 Mebroot，还有许多其他。 2012 年，演示了一种新的启动工具包。 而不是通过 BIOS 或主引导记录攻击机器，而是通过感染 EFI（启动过程的固件包）攻击 Mac OS X 系统。 第二种非常原始的启动工具包通过感染 UEFI 启动工具包（UEFI 的前身）攻击 Windows 8 机器。 大约在 2013 年，研究人员演示了一种名为 Dreamboat 的更高级的 UEFI 启动工具包。 2018 年，针对 UEFI 的实际攻击的已知首例出现在恶意软件 LoJax 的发现中。 它是合法反盗窃软件 LoJack 的一个改造版本，由克里姆林宫支持的黑客组织创建，该组织被追踪的名称包括 Sednit、Fancy Bear 和 APT 28。 该恶意软件通过可以读取和覆盖 UEFI 固件闪存部分的恶意软件工具远程安装。 2020 年，研究人员挖掘到了第二个已知实例的实际恶意软件攻击 UEFI。 每次感染设备重新启动时，其 UEFI 会检查 Windows 启动文件夹中是否存在恶意文件，如果没有，则会安装它。 发现该恶意软件的安全提供商卡巴斯基的研究人员将其命名为 "MosaicRegressor"。 研究人员尚未确定受损 UEFI 是如何被感染的。 从那时起，出现了一些新的 UEFI 启动工具包。 它们的追踪名称包括 ESpecter、FinSpy 和 MoonBounce。 需求是发明之母 面对 UEFI 启动工具包日益严重的威胁，微软与设备制造商合作开发了安全启动（Secure Boot），这是一项行业标准，使用密码签名确保在启动期间加载的每个固件都受到计算机制造商的信任。 安全启动旨在创建一条信任链，防止攻击者用恶意固件替换预期的启动固件。 如果启动链中的单个环节未被识别，安全启动将阻止设备启动。 然后在 2023 年，研究人员发现了 LogoFail，一系列在全球每台 Windows 和 Linux 系统中启动的 UEFI 中发现的关键漏洞。 在启动期间呈现硬件制造商标志的软件中的图像解析错误允许攻击者绕过安全启动并用恶意固件感染 UEFI。 LogoFail 的发现要求微软用新的签名取代支撑安全启动的现有密码签名。 三个日期为 2011 年的旧签名将被删除，取而代之的是2023 年的签名。 微软正在更新 Windows 10 和 Windows 11 机器。 Linux 发行商也正在更新 "shims"，这是一种小型第一阶段 UEFI 启动加载程序，充当安全启动密钥与 Linux 启动加载程序之间的可信桥。 未能更新与安全启动相关的密钥的机器将继续运行，但这将...