資安警報:Windows 與 Linux 用戶注意!保護系統的「安全開機金鑰」即將失效,逾期恐陷 UEFI 惡意軟體危機
編輯核心觀點
- ✦微軟設計的「安全開機」加密金鑰將於 6 月 24 日到期,若未更新,系統將失去對抗 UEFI 開機套件的防護力。
- ✦這項更新旨在修補 2023 年發現的「LogoFail」漏洞,該漏洞允許駭客繞過安全開機機制。
- ✦Windows 用戶應檢查系統安全設定,確保金鑰已自動更新;Linux 用戶則需留意新的「啟動載入器墊片」(shims)發布。

對於全球數百萬 Windows 和 Linux 用戶而言,一場潛在的資安風暴正悄然逼近。保護電腦免受韌體(firmware)層級惡意軟體侵害的加密金鑰,即將在 6 月 24 日失效。屆時,若未能及時更新,您的系統將暴露於難以偵測且極具破壞力的「UEFI 開機套件」(UEFI bootkits)威脅之下。
這項關鍵更新的核心,是微軟所設計的「安全開機」(Secure Boot)信任鏈。安全開機機制會在系統啟動時,檢查所有載入韌體的數位簽章,確保它們來自可信任的供應商,例如主機板製造商。此舉旨在防堵惡意軟體在作業系統和防毒軟體啟動之前,就已潛入系統底層。
深入解析:UEFI 開機套件的威脅
UEFI 開機套件是一種極為頑固的惡意軟體,它會修改「統一可延伸韌體介面」(Unified Extensible Firmware Interface, UEFI),也就是傳統 BIOS 的繼任者。由於這些開機套件在作業系統(OS)及大多數程式碼之前載入,因此難以被偵測。一旦安裝,它們通常會在作業系統中植入其他惡意程式,竊取憑證、建立後門,或執行其他惡意行為。即使作業系統被清除,開機套件仍能重新感染系統,甚至在重新安裝作業系統後依然存在。
開機套件的演進史
開機套件的歷史可追溯至 1980 年代初期,當時針對 Apple II 電腦的惡意軟體透過盜版軟碟傳播。到了 2000 年代初期,Windows 開機套件開始引起關注,例如 2005 年在 Black Hat 資安會議上展示的「BootRoot」。隨後幾年,Vbootkit、Stoned Bootkit 和 Mebroot 等概念驗證(PoC)陸續出現。
2012 年,一種新型開機套件現身,不再針對 BIOS 或主開機紀錄(MBR),而是感染 Mac OS X 系統的 EFI。2013 年,研究人員更展示了針對 Windows 系統的進階 UEFI 開機套件「Dreamboat」。
真實世界中,首次發現針對 UEFI 的攻擊發生在 2018 年,一款名為「LoJax」的惡意軟體被揭露。它是由克里姆林宮支持的駭客組織(如 Sednit、Fancy Bear 和 APT 28)所開發,利用遠端工具讀寫 UEFI 韌體的快閃記憶體。2020 年,資安公司卡巴斯基(Kaspersky)發現了第二起真實世界的 UEFI 惡意軟體「MosaicRegressor」,它會在每次裝置重啟時檢查 Windows 啟動資料夾,若無惡意檔案便重新安裝。此後,ESpecter、FinSpy 和 MoonBounce 等多種新型 UEFI 開機套件也陸續浮出水面。
安全開機(Secure Boot)的誕生與挑戰
為應對 UEFI 開機套件日益嚴峻的威脅,微軟與裝置製造商合作開發了安全開機標準。它透過加密簽章,確保啟動時載入的每個韌體都是電腦製造商所信任的,藉此建立一道信任鏈,防止攻擊者以惡意韌體取代預期的啟動韌體。只要啟動鏈中的任何環節未被識別,安全開機就會阻止裝置啟動。
然而,這道防線在 2023 年遭遇挑戰。研究人員發現了一系列名為「LogoFail」的嚴重漏洞,幾乎影響全球所有 Windows 和 Linux 系統的 UEFI。這個漏洞利用啟動時顯示硬體製造商標誌的圖像解析錯誤,讓攻擊者得以繞過安全開機,並用惡意韌體感染 UEFI。
LogoFail 的發現,迫使微軟必須更換現有的安全開機加密簽章。目前有三張日期為 2011 年的舊憑證將被移除,取而代之的是 2023 年的新憑證。微軟正在為 Windows 10 和 Windows 11 系統推送更新,而 Linux 發行版也正更新其「啟動載入器墊片」(shims),這是一種小型、第一階段的 UEFI 啟動載入器,作為安全開機金鑰與 Linux 啟動載入器之間的信任橋樑。
更新迫在眉睫:如何確保你的系統安全
未能更新安全開機相關金鑰的電腦仍能正常運作,但將不再受新 UEFI 威脅的保護,包括那些利用 LogoFail 漏洞的攻擊。這次金鑰更新旨在緩解此風險,並預防未來可能出現的其他 UEFI 攻擊。
Windows 用戶可透過以下步驟檢查金鑰狀態:開啟「Windows 安全性」設定 > 「裝置安全性」> 「安全開機」。如果看到綠色勾號,表示更新已完成。大多數 Windows 電腦會在每月的例行修補程式發布期間自動更新金鑰,但較舊的機器可能需要手動處理。
Linux 用戶則應留意新「啟動載入器墊片」(shims)的發布。此外,建議所有用戶在新的憑證替換完成之前,暫緩安裝任何新的主機板韌體更新。
這項更新是確保系統底層安全的重要一步,用戶應盡快檢查並完成更新,以避免成為潛在的資安受害者。



