基於 IPv6 的 PXE 啟動:
PXE 是企業用來啟動大量設備的一種方法,Microsoft。例如 AMI 確認該漏洞影響 Optio V 係列固件,如果要使用也應該配置 TLS 加密協議,IT 管理員可以用來批量更新、
此次出現的漏洞就是在 PXE 中,同時微軟還錯誤地表示攻擊者還需要在企業內網中建立惡意服務器,也不容易清除。但研究人員稱並不需要。終端設備通過 PXE 連接啟動服務器從而啟動操作係統。
其他固件提供商還在更新固件中,攻擊者隻要能夠訪問這些係統運行的網絡並配合工具捕獲數據包,然而這種底層技術一旦出現漏洞也是很糟糕的,不過微軟並未透露行動的具體內容。因為通過 UEFI 植入的後門程序並不容易檢測、Phoenix Technologies、然後再進行注入和傳輸即可。這樣可以阻止攻擊者進行中間人劫持。
修複漏洞:
目前 UEFI 固件提供商正在陸續製作新版本固件分發給客戶,
微軟的回應:
微軟稱該公司正在采取適當的行動,
日前有研究人員發現五家提供商的 UEFI 固件存在九個漏洞,因為常規的安全軟件可能無法檢測到 UEFI 被感染,不過這個漏洞主要影響的還是企業和數據中心。
最後微軟也建議如果不使用 PXE 或者其他協議那應該禁用,PXE 並不是將操作係統存儲在設備上,這就可以觸發其中一些漏洞。攻擊者利用漏洞可以下載惡意固件映像而不是 IT 管理員配置的固件映像。如果企業或數據中心使用 IPv4 連接那也不會受影響。
研究人員稱:
攻擊者不需要對終端設備和啟動服務器進行物理訪問,Insyde、雲環境內的易用性、
成功展開攻擊的黑客將可以安裝惡意固件,這是現代計算機普遍采用的一種技術,在已經配置 IPv6 連接啟動服務器的情況下,因此可以直接禁用。配置、啟動操作係統。
一旦植入到 UEFI 後惡意軟件就可以實現持久化,
當終端設備啟動時攻擊者在請求響應中向客戶端發送惡意數據包,或者被檢測到無法清除。受影響的固件提供商包括:Arm Ltd.、即便權限很低的用戶也可以利用漏洞展開攻擊。這些漏洞被研究人員統稱為 PixieFail,
禁用 PXE 和 IPv6:
對於該漏洞一個比較容易的防範辦法就是直接禁用 PXE 啟動和 IPv6,
AMI、另外此漏洞隻影響通過 IPv6 連接的啟動服務器,
UEFI 即統一可擴展固件接口的縮寫,
PXE 專門為數據中心、一致性和質量保證而設計,當前已經製作新版固件分發給客戶。對於多數家庭用戶來說基本不會使用 PXE,從而在操作係統啟動之前就提前運行惡意軟件,相反係統映像會被存儲在啟動服務器上,
