11 ứng dụng UEFI Shim cũ được Microsoft ký có thể bị lợi dụng để bypass Secure Boot
Các nhà nghiên cứu từ ESET vừa phát hiện 11 ứng dụng UEFI shim cũ vẫn được Microsoft ký, cho phép kẻ tấn công bypass cơ chế Secure Boot trên nhiều hệ thống, mở đường cho việc cài đặt bootkit độc...
Các chuyên gia bảo mật tại ESET vừa công bố báo cáo về 11 ứng dụng UEFI (Unified Extensible Firmware Interface) shim cũ vẫn mang chữ ký của Microsoft. Những ứng dụng này đang tiềm ẩn nguy cơ cho phép kẻ tấn công bypass Secure Boot trên hầu hết các hệ thống sử dụng tiêu chuẩn firmware hiện đại.
Theo Martin Smolár, nhà nghiên cứu tại ESET, việc khai thác các ứng dụng dễ bị tổn thương này cho phép kẻ tấn công thực thi mã độc ngay trong quá trình khởi động hệ thống, từ đó triển khai các loại UEFI bootkit hoặc các dạng malware nguy hiểm khác.
Cơ chế tấn công và rủi ro
Vấn đề nằm ở các UEFI shim bootloader vốn được tin tưởng bởi chứng chỉ “Microsoft Corporation UEFI CA 2011”. Dù chứng chỉ này đã hết hạn vào tháng 6/2026, nhưng các file nhị phân (binary) được ký trước đó vẫn có thể bị lợi dụng nếu chưa bị thu hồi (revoked) thông qua danh sách DBX. Kẻ tấn công có thể thay thế shim hiện tại của nạn nhân bằng một phiên bản cũ hơn nhưng vẫn được hệ thống tin tưởng, từ đó vượt qua các cơ chế kiểm soát như MOK (Machine Owner Key) denylist hay SBAT (Secure Boot Advanced Targeting).
Điều đáng lo ngại là quá trình này diễn ra trước khi hệ điều hành và các giải pháp bảo mật (như EDR) được khởi tạo, khiến mã độc có khả năng tồn tại dai dẳng ngay cả khi người dùng cài đặt lại hệ điều hành.
Danh sách các thành phần bị ảnh hưởng
Các phiên bản shim cũ (chủ yếu từ 0.9 trở xuống) từ nhiều nhà cung cấp đã bị Microsoft thu hồi trong bản cập nhật Patch Tuesday tháng 6/2026, bao gồm:
- Spyrus WTGCreator (0.7 hoặc thấp hơn)
- RedHat Enterprise Linux 7.2 (0.9)
- CentOS 7.2 (0.9)
- Baramundi Management Suite (đến 2024R1)
- WhiteCanyon/Blancco WipeDrive (8.0.0 – 8.1.3)
- Matriculation Examination Board Abitti 1 (0.8)
- ROSA Linux R10, R9 (0.9)
- OracleLinux 7.2 (0.9)
- PC Doctor Service Center 15, 16 (0.9)
- OpenSuse UEFI Shim loader (0.9)
- OpenSuse Shim 2.1 (0.9)
Các lỗ hổng này được theo dõi dưới mã CVE-2026-8863 và CVE-2026-10797. ESET nhấn mạnh rằng kẻ tấn công không cần những kỹ thuật khai thác quá phức tạp; chỉ cần sở hữu một bản sao của shim cũ, chưa bị thu hồi là đủ để vô hiệu hóa một trong những tính năng bảo mật quan trọng nhất của hệ thống.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.