Các nhà nghiên cứu bảo mật đã phát hiện ra một loạt lỗ hổng bảo mật firmware nghiêm trọng trong các UEFI shell được ký số, cho phép kẻ tấn công hoàn toàn vượt qua cơ chế bảo vệ Secure Boot trên khoảng 200.000 máy tính xách tay và máy tính để bàn của Framework. Những lỗ hổng này không chỉ là một điểm yếu kỹ thuật mà còn phơi bày một khuyết điểm cơ bản trong kiến trúc an ninh firmware, có nguy cơ dẫn đến việc lây nhiễm phần mềm độc hại dai dẳng và không thể phát hiện ở cấp độ đặc quyền cao nhất của hệ thống. Đây là một cảnh báo nghiêm trọng về các mối đe dọa tiềm ẩn sâu bên dưới hệ điều hành.

Bản chất của Lỗ hổng: Các UEFI Shell được ký số

Các lỗ hổng được phát hiện tập trung vào những công cụ chẩn đoán hợp pháp vốn đã được ký bằng chứng chỉ tin cậy của Microsoft. Điều này tạo ra một tình huống phức tạp: thay vì là một mã độc không rõ nguồn gốc, các UEFI shell này là những thành phần được hệ thống tin cậy. Mặc dù các UEFI shell này có mục đích hợp lệ cho quản trị viên hệ thống và nhà phát triển firmware, chúng lại chứa các chức năng nguy hiểm có thể vô hiệu hóa các cơ chế bảo mật cốt lõi.

Không giống như các backdoor truyền thống do kẻ tấn công cài đặt, đây là những thành phần được ủy quyền mà kẻ xấu có thể khai thác để phá vỡ toàn bộ chuỗi bảo mật khởi động, bao gồm cả Secure Boot. Sự hiện diện của các công cụ mạnh mẽ này, khi bị lạm dụng, biến chúng thành một lỗ hổng bảo mật firmware đáng lo ngại, có khả năng biến một tính năng hữu ích thành một vector tấn công mạnh mẽ để tấn công mạng.

Cơ chế khai thác: Lệnh mm và Ghi đè Bộ nhớ

Cốt lõi của lỗ hổng bảo mật firmware này nằm ở lệnh mm được tìm thấy trong nhiều UEFI shell. Lệnh mm cung cấp quyền truy cập đọc và ghi trực tiếp vào bộ nhớ hệ thống. Khả năng truy cập trực tiếp này cực kỳ nguy hiểm vì nó cho phép kẻ tấn công sửa đổi các cấu trúc bảo mật quan trọng nhất của hệ thống trước cả khi hệ điều hành được tải đầy đủ.

Các nhà nghiên cứu tại Eclypsium đã chứng minh rằng, bằng cách nhắm mục tiêu vào Security Architectural Protocol (một giao thức kiến trúc bảo mật trong UEFI), kẻ tấn công có thể ghi đè các vị trí bộ nhớ chịu trách nhiệm xác minh chữ ký số trong quá trình khởi động. Điều này có hiệu quả vô hiệu hóa Secure Boot một cách âm thầm, trong khi hệ thống vẫn tiếp tục báo cáo rằng các cơ chế bảo vệ đang hoạt động. Đây là một điểm cực kỳ nguy hiểm, tạo ra cảm giác an toàn giả. Chi tiết về phân tích kỹ thuật chuyên sâu này có thể được tìm thấy tại báo cáo “Bombshell” của Eclypsium.

Các giai đoạn tấn công và khả năng duy trì

Cuộc tấn công mạng thông qua lỗ hổng bảo mật firmware này được thực hiện qua nhiều giai đoạn cụ thể:

• Đầu tiên, kẻ tấn công cần xác định biến toàn cục trỏ đến Security Architectural Protocol bên trong bộ nhớ UEFI.
• Sử dụng các lệnh UEFI shell cơ bản, chúng định vị địa chỉ bộ nhớ chính xác nơi biến này tồn tại.
• Sau đó, lệnh mm được sử dụng để ghi đè con trỏ xử lý bảo mật. Hành động này sẽ vô hiệu hóa hoàn toàn việc xác minh chữ ký cho tất cả các mô-đun và trình điều khiển tải sau đó trong quá trình khởi động.

Với các cơ chế bảo vệ như Secure Boot bị vô hiệu hóa, kẻ tấn công có thể tải và thực thi bất kỳ mã tùy ý nào, bao gồm cả bootkit và rootkit độc hại. Khía cạnh đáng lo ngại nhất là khả năng duy trì: kẻ tấn công có thể thiết lập các script khởi động tự động thực thi các lệnh này mỗi khi thiết bị khởi động. Điều này đảm bảo rằng phần mềm độc hại sẽ tồn tại qua các lần khởi động lại, cung cấp khả năng chiếm quyền điều khiển bền bỉ và khó bị phát hiện ở cấp độ thấp nhất của hệ thống.

Phạm vi ảnh hưởng và các mối đe dọa thực tế

Các nhà nghiên cứu của Eclypsium đã phát hiện ra rằng Framework đã phân phối các UEFI shell được ký số, chứa lỗ hổng bảo mật firmware này, cho người dùng Linux trong các gói cập nhật firmware. Kiểm tra đã xác nhận rằng các shell này chứa chức năng lệnh mm nguy hiểm và được ký bằng các chứng chỉ đáng tin cậy bởi hệ thống, làm tăng mức độ nghiêm trọng của vấn đề.

Framework đã chính thức thừa nhận vấn đề này, ảnh hưởng đến khoảng 200.000 thiết bị của họ, và đang trong quá trình triển khai các bản sửa lỗi trên toàn bộ dòng sản phẩm. Các mẫu thiết bị khác nhau đang ở các giai đoạn khắc phục khác nhau, với một số đã nhận được các phiên bản shell giới hạn hơn và cập nhật cơ sở dữ liệu DBX để đưa các thành phần dễ bị tổn thương vào danh sách đen. Đây là một bước quan trọng để giảm thiểu nguy cơ từ lỗ hổng bảo mật firmware này.

Những kỹ thuật khai thác UEFI shell không chỉ là mối đe dọa lý thuyết trong các phòng thí nghiệm. Chúng đã được chứng minh trong thực tế: các nhà cung cấp cheat thương mại trong ngành công nghiệp game công khai bán các công cụ vượt qua cơ chế chống gian lận ở cấp độ UEFI với giá lên tới 40 euro mỗi tháng, khai thác chính các thành phần được Microsoft ký. Nghiêm trọng hơn, mã độc tống tiền HybridPetya đã chứng minh rằng các nhóm tội phạm có tổ chức đang áp dụng các phương pháp lây nhiễm trước hệ điều hành bằng cách sử dụng các lỗ hổng tương tự để triển khai tấn công mạng quy mô lớn.

Các chuyên gia bảo mật cảnh báo rằng các tác nhân cấp quốc gia và các nhóm đe dọa dai dẳng nâng cao (APT) có thể vũ khí hóa các kỹ thuật này cho các hoạt động gián điệp hoặc phá hoại có mục tiêu cao. Phát hiện này nhấn mạnh một thực tế đáng lo ngại: các hệ thống tưởng chừng như có quy trình khởi động an toàn và vững chắc thực tế có thể dễ bị tấn công ở cấp độ firmware, vượt qua hầu hết các biện pháp bảo vệ thông thường.

Biện pháp phòng ngừa và Bản vá bảo mật

Để bảo vệ hệ thống khỏi các lỗ hổng bảo mật firmware nghiêm trọng như đã nêu, các chiến lược phòng thủ toàn diện là bắt buộc. Chúng bao gồm:

• Cập nhật danh sách thu hồi UEFI (DBX): Đảm bảo rằng danh sách thu hồi UEFI được cập nhật thường xuyên thông qua các bản cập nhật DBX, giúp đưa các bộ nạp khởi động và các thành phần dễ bị tổn thương vào danh sách đen.
• Triển khai bảo vệ bằng mật khẩu BIOS/UEFI: Thiết lập mật khẩu mạnh cho BIOS/UEFI để ngăn chặn truy cập trái phép vào các cài đặt firmware.
• Quản lý khóa Secure Boot tùy chỉnh: Đối với các tổ chức có yêu cầu bảo mật cao, việc triển khai quản lý khóa Secure Boot tùy chỉnh (Custom Secure Boot key management) có thể cung cấp lớp bảo vệ bổ sung, kiểm soát chặt chẽ hơn những gì được phép khởi động.
• Sử dụng các công cụ phân tích firmware: Triển khai các công cụ chuyên dụng để quét và phân tích firmware, nhằm xác định sớm các thành phần dễ bị tổn thương hoặc có khả năng độc hại.

Các tổ chức phải nhận ra rằng an ninh firmware không còn có thể bị coi là một vấn đề thứ yếu. Với khả năng vượt qua hầu hết mọi kiểm soát bảo mật được tích hợp vào hệ điều hành và ứng dụng, những kẻ tấn công hoạt động ở cấp độ này có thể gây ra thiệt hại nghiêm trọng. Việc ưu tiên các chiến lược như cập nhật bản vá bảo mật định kỳ và tăng cường phòng thủ ở cấp độ firmware là tối quan trọng để chống lại các mối đe dọa tiên tiến và bảo vệ toàn vẹn hệ thống.