官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
CERT协调中心(CERT/CC)针对编号为CVE-2025-11577的关键供应链漏洞发布警告。研究人员发现,Clevo的UEFI固件更新包意外泄露了英特尔Boot Guard私钥,攻击者可利用这些密钥签署恶意固件,使其通过系统信任验证,从而破坏预启动环境并威胁平台完整性。
漏洞技术细节
CERT/CC指出:"Clevo的UEFI固件更新包包含了其英特尔Boot Guard实现中使用的敏感私钥。这些密钥的意外泄露可能被攻击者滥用,通过Clevo的Boot Guard信任链签署恶意固件。"
英特尔Boot Guard旨在通过密码学验证固件真实性来保护系统初始启动过程。它建立的信任根机制确保在操作系统加载前仅运行经过验证的固件。CERT/CC解释称:"英特尔Boot Guard是一项平台完整性技术,通过建立信任根来保护启动过程的最初阶段。它对初始启动块(IBB)进行密码学验证,阻止非可信固件的执行。"
与Secure Boot的区别
Boot Guard与UEFI Secure Boot存在本质差异,后者在启动链的后期阶段实施信任验证。"Boot Guard常与UEFI Secure Boot混淆,但Secure Boot在流程后期发挥作用,在UEFI固件执行阶段以及从UEFI过渡到操作系统期间实施信任验证。"这意味着信任链的最初环节Boot Guard一旦被攻破,包括Secure Boot和操作系统级防护在内的所有下游安全机制都将失效。
供应链影响范围
总部位于台湾的ODM/OEM厂商Clevo为多家全球PC品牌生产笔记本电脑和UEFI固件。CERT/CC警告称:"Clevo公司作为计算机硬件和固件制造商,同时承担原始设计制造商(ODM)和原始设备制造商(OEM)角色,为各类个人电脑品牌生产笔记本电脑和UEFI固件。"由于Clevo固件被集成到其他OEM厂商的设备中,此次密钥泄露可能产生广泛的供应链影响。
攻击潜在危害
此次泄露最严重的风险在于破坏了Boot Guard建立的信任关系。攻击者利用泄露的签名密钥可制作通过英特尔Boot Guard完整性检查的恶意UEFI固件,使其在硬件层面显示为合法。"具有系统闪存写入权限的攻击者,无论是通过物理访问还是特权软件更新机制,都可能滥用泄露的密钥签署并安装恶意固件。"此类恶意固件可在重启后持续驻留,规避操作系统级检测,实现对设备的长期控制。
当前处置建议
CERT/CC报告显示,Clevo已移除包含泄露密钥的受影响固件包,但尚未公布具体的缓解措施或密钥撤销计划。在官方修复方案发布前,建议依赖Clevo固件的用户和系统集成商采取以下措施:
- 通过检查是否部署了受影响固件版本来评估风险暴露情况
- 监控系统中是否存在未经授权或未签名的固件变更
- 仅从经过验证的可信来源应用固件更新
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)