shim을 두 운영 체제 모두를 실행하는 장치에 설치할 수 있기 때문에 위협은 Windows 및 Linux 사용자 모두에게 확장됩니다. 여기서 공격자는 의무화된 디지털 서명 펌웨어 체인을 무력화하여 부팅 프로세스 초기에 로드되고 OS를 재설치하거나 하드 드라이브를 교체한 후에도 지속되는 악성 펌웨어를 설치할 수 있습니다.
ESET 연구원 Martin Smolár는 화요일에 "이 오래된 shims를 위험하게 만드는 것은 새로운 취약점이 아닙니다"라고 썼습니다. "UEFI Secure Boot를 우회하는 데 새로운 취약점이 필요하지 않다는 점입니다. 공격자는 복잡한 취약점 활용 프리미티브가 필요하지 않으며, 단지 오래되고 여전히 신뢰받지만 취소되지 않은 shim 바이너리 복사본과 UEFI shims가 작동하는 방식에 대한 기본적인 이해만 있으면 됩니다. 그것만으로도 UEFI Secure Boot와 같은 필수적인 보안 기능을 우회하기에 충분합니다."
Secure Boot는 이러한 악성 펌웨어를 뜻하는 bootkits의 위협을 완화하기 위해 2012년에 도입되었습니다. Secure Boot가 없으면, 장치가 꺼져 있을 때조차 장치에 잠시 물리적으로 접근할 수 있는 공격자는 2018년 러시아 국가 해커가 사용한 LoJax, 2020년에 발견된 MosaicRegressor, 2022년의 CosmicStrand, 2023년의 BlackLotus와 유사한 bootkits를 설치할 수 있습니다. 다른 몇몇 실제 유포 중인 bootkits는 ESpecter, FinSpy, Mo*!* 등의 이름으로 추적됩니다.
대부분의 bootkit 멀웨어는 공격자가 대상 장치에 물리적으로 접근할 것을 요구합니다. 이러한 접근은 Secure Boot가 명시적으로 보호하도록 요구되는 위협 모델 중 하나입니다.
CERT이 컴파일한 11개의 shim 목록을 보면 일부는 Redhat, OpenSuse, Oracle과 같은 Linux 배포판에서 사용되었음을 보여줍니다. 다른 것들은 핀란드의 Matriculation Examination Board와 같은 제3자 소프트웨어의 일부였습니다. 이들 중 상당수는 SBAT 및 MOK 거부 목록을 포함한 특정 보호 기능이 존재하기 전에 구축되었습니다. 다른 것들은 코드 내에 축적된 버그나 승인하는 2단계 바이너리에 버그를 포함하고 있습니다.
Windows용 Microsoft의 디지털 서명 UEFI 부트로더는 Windows 머신에서 유일한 신뢰의 닻입니다. 구성 요소가 부팅 프로세스 중에 로드되려면 인증서가 부팅 중에 실행되는 모든 다른 코드를 명시적으로 서명해야 합니다.
Shims는 다르게 작동합니다. 그것들은 보조 신뢰 닻이며, Microsoft의 다른 UEFI 인증서 중 하나를 사용하여 Microsoft에 의해 서명됩니다. 거기서부터 shim에 내장된 메인보드 또는 소프트웨어 제작자의 인증서가 이후에 로드되는 모든 소프트웨어를 승인합니다.
shims에서 취약점이 발견되면 Microsoft은 그것들을 취소합니다. 11개의 shims의 경우, 회사는 일부 사례에서 10년 이상 이를 수행하지 못했습니다. 회사는 ESET이 CERT과 Microsoft의 주의를 끌었, 6월 정기 월간 패치 출시에서 마침내 그것들을 취소했습니다.
|