close

聚焦源代碼安全,網羅國內外最新資訊!

編譯:代碼衛士

專欄·供應鏈安全

數字化時代,軟件無處不在。軟件如同社會中的「虛擬人」,已經成為支撐社會正常運轉的最基本元素之一,軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

隨着軟件產業的快速發展,軟件供應鏈也越發複雜多元,複雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢,造成的危害也越來越嚴重。

為此,我們推出「供應鏈安全」欄目。本欄目匯聚供應鏈安全資訊,分析供應鏈安全風險,提供緩解建議,為供應鏈安全保駕護航。

註:以往發布的部分供應鏈安全相關內容,請見文末「推薦閱讀」部分。


研究員在三個簽名的第三方UEFI引導程序中發現了一個安全特性繞過漏洞,可導致UEFI安全引導特性被繞過。

硬件安全公司 Eclypsium 在報告中指出,「這些漏洞可通過安裝EFI系統分區和通過易受攻擊的引導程序取代現有的引導程序利用,或者通過修改UEFI變量加載易受攻擊的而非現有的引導程序進行利用。」

如下針對廠商的引導程序由微軟簽名和認證,易被繞過,已由微軟在本月星期二中修復:

Eurosoft Boot Loader (CVE-2022-34301)

New Horizon Data Systems Inc Boot Loader (CVE-2022-34302),和

Crypto Pro Boot Loader (CVE-20220-34303)

Secure Boot 安全標準旨在阻止惡意程序在計算機啟動時加載,並確保只有受原始設備製造商 (OEM) 信任的軟件才能啟動。

微軟在文檔中指出,「固件引導程序啟動UEFI環境並將控制交給由 SoC 廠商、微軟和OEMs 編寫的UEFI 應用程序。UEFI 環境啟動Windows Boot Manager,判斷是否啟動為FFU圖像啟動或設備重置模式,還是啟動為更新OS,還是啟動為主OS。」

簡言之,成功利用這些缺陷可導致攻擊者在啟動時規避安全防護措施並在啟動過程中執行任意未簽名代碼。這可導致惡意人員獲得不易改變的訪問權限並在主機上設立永久性,當操作系統重裝和硬件取代時仍然能存活,更不用說繞過安全軟件的檢測。

研究人員指出,CVE-2022-34302「更為隱蔽」,它不僅易遭在野利用,還「可導致更複雜的躲避如禁用安全句柄。」安全句柄可包括TPM衡量和簽名檢查。

值得注意的是,利用這些漏洞要求攻擊者擁有管理員權限,儘管獲得提權並不難,因為微軟並未將用戶賬戶控制繞過視作安全風險。研究人員總結稱,「和BootHole一樣,這些漏洞說明了確保依賴於廠商和代碼協作的複雜供應鏈的設備的啟動完整性風險,強調了第三方代碼中的簡單漏洞即可危害整個進程。」


代碼衛士試用地址:https://codesafe.qianxin.com
開源衛士試用地址:https://oss.qianxin.com




推薦閱讀

在線閱讀版:《2022中國軟件供應鏈安全分析報告》全文

在線閱讀版:《2021中國軟件供應鏈安全分析報告》全文

管理服務提供商遭攻擊,英國NHS應急服務受影響

Solana 區塊鏈平台疑遭供應鏈攻擊,價值數百萬美元的密幣遭洗劫

開源web應用中存在三個XSS漏洞,可導致系統遭攻陷

開源軟件 LibreOffice 修復多個與宏、密碼等相關的漏洞

Juniper Networks修復200多個第三方組件漏洞

美國國土安全部:Log4j 漏洞的影響將持續十年或更久

美國國土安全部:Log4j 漏洞的影響將持續十年或更久

PyPI 倉庫中的惡意Python包將被盜AWS密鑰發送至不安全的站點

開源項目 Parse Server 出現嚴重漏洞,影響蘋果 Game Center

奇安信開源軟件供應鏈安全技術應用方案獲2022數博會「新技術」獎

更好的 DevSecOps,更安全的應用

他坦白:只是為了研究才劫持流行庫的,你信嗎?

熱門PyPI 包 「ctx」 和 PHP庫 「phpass」 長時間未更新遭劫持,用於竊取AWS密鑰

從美行政令看軟件供應鏈安全標準體系的構建

研究員發現針對 GitLab CI 管道的供應鏈攻擊

五眼聯盟:管理服務提供商遭受的供應鏈攻擊不斷增多

趁機買走熱門包唯一維護人員的郵件域名,我差點發動npm 軟件供應鏈攻擊

RubyGems 包管理器中存在嚴重的 Gems 接管漏洞

美國商務部機構建議這樣生成軟件供應鏈 「身份證」

《軟件供應商手冊:SBOM的生成和提供》解讀

和GitHub 打官司?熱門包 SheetJS出走npmjs.com轉向自有CDN

不滿當免費勞力,NPM 熱門庫 「colors」 和 「faker」 的作者設無限循環

NPM流行包再起波瀾:維護人員對俄羅斯用戶發特定消息,誰來保證開源可信?

NPM邏輯缺陷可用於分發惡意包,觸發供應鏈攻擊

攻擊者「完全自動化」發動NPM供應鏈攻擊

200多個惡意NPM程序包針對Azure 開發人員,發動供應鏈攻擊

哪些NPM倉庫更易遭供應鏈攻擊?研究員給出了預測指標

NPM 修復兩個嚴重漏洞但無法確認是否已遭在野利用,可觸發開源軟件供應鏈攻擊

熱門NPM庫 「coa」 和「rc」 接連遭劫持,影響全球的 React 管道

速修復!熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞,已存在9年

25個惡意JavaScript 庫通過NPM官方包倉庫分發

Pwn2Own大賽回顧:利用開源服務中的嚴重漏洞,攻陷西部數據My Cloud PR4100

開源網站內容管理系統Micorweber存在XSS漏洞

熱門開源後端軟件Parse Server中存在嚴重的 RCE ,CVSS評分10分

開源組件11年未更新,嚴重漏洞使數百萬安卓按設備易遭遠程監控

開源工具 PrivateBin 修復XSS 漏洞

奇安信開源組件安全治理解決方案——開源衛士

原文鏈接

https://thehackernews.com/2022/08/researchers-uncover-uefi-secure-boot.html

題圖:Pexels License

本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。

奇安信代碼衛士 (codesafe)

國內首個專注於軟件開發安全的產品線。

覺得不錯,就點個「在看」 或 "贊」 吧~

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()