新聞中心
ESET防毒軟體2018新版功能–UEFI掃描器,協助您電腦設備安全再升級!!!
2018.01.02
當全球資安大廠ESET宣布,旗下全系列防護產品2018新版增加【UEFI掃描器功能】時,主要反映分為兩種。有些人稱:“太棒了!”;還有人說:“UEFI掃描器功能是什麽?”本文將為您提供此問題的答案 – 而回答”太棒了!“的人往往是電腦設備安全領域最新技術的密切關注者,深知UEFI其實蘊含著安全隱憂。
 
從BIOS到UEFI
 
先從基礎知識談起,統一可延伸韌體介面 (英語:Unified Extensible Firmware Interface,縮寫UEFI) ,是電腦系統的一部份,在開機時啟動操作系統,即所謂的開機啟動程序。您可能已經了解到,這是由BIOS或基本輸入/輸出系統來處理的,事實上曾經是這樣的,但現今的電腦使用UEFI取而代之,雖然有些人仍然稱之為BIOS。
 
與電腦系統的其他部份一樣,一旦UEFI被駭客攻擊後,便可以取得系統的管理權限, 而【UEFI掃描器功能】的作用是檢測並刪除在作業系統啟動之前可能被攻擊的威脅。 這些威脅包括rootkit和勒索軟體等,其針對UEFI中的安全漏洞持續性攻擊,甚至在重新安裝操作系統後仍然存在。 簡而言之,ESET的 【UEFI掃描器功能】就是防範這些類型的攻擊。
 
UEFI的前身BIOS早在1975年就設計用於8位元電腦,應該沒有人想到它會被使用到下個世紀。 但有時候舊有技術卻依然被使用,並超出人們的想像 (例如滑鼠,想必大家都能認同吧) ,而 原因在於沒有人知道如何取代BIOS,但人們清楚的知道新技術應具備更強功能和更好的安全性,便於升級和擴展,無需編寫匯編語言代碼。
 
使得BIOS壽終正寢更為實際的因素之一,就是需要支援高容量硬碟。 在1975的年代裡,不會有人想到會出現一個大於2TB的硬碟,當時這個硬碟只要幾百MB就已經非常大了,但是現在2TB的硬碟已經是很普及了!
 
不僅如此,如果其中能內建網路連線功能,並在作業系統啟動之前下載更新,不是很好嗎?!而且 另外有個更易理解、更便於擴展的操作界面,搭配某種存儲途徑,例如借助硬碟存儲更新文件、USB密鑰等這一類數據,而不再依賴BIOS晶片本身並受其中相對極小的容量所制約, 豈不是更為理想?!
 
雖然這一切聽上去很好,但落實起來卻有相當難度。不僅需要有業界的廣泛支持,還必須有領頭羊率先引領這一變革。最終,由英特爾公司(Intel)首先涉足這一新技術領域,搭配自家不被看好的64位Itanium處理器(現已停產),開創了EFI技術,因為BIOS無法支援64位元運算。但為了在業界推廣,英特爾公司創建UEFI (統一可延伸韌體介面)並利用論壇開放了EFI技術,隨後發布了一個可供所有人使用的規範。
 
自主適配問題
 
請注意,UEFI只是一種規格,並非標準規範,也就是說,只要在UEFI規格裡,廠商可以自主添加相關功能 (感謝C語言) ,目前業界也正是這樣操作的,各個廠商紛紛推出自己的版本。
 
青睞於各類新技術的微軟公司(Microsoft)採用了UEFI,大大促進了普及度。該公司宣布,從Windows 8起,UEFI將成為新的64位元電腦的認證要求(原本不支援64位元的舊型電腦仍然可以升級)。畢竟,UEFI提供了一些有趣的安全功能,而這些功能在以前的BIOS上是無法實現的。
 
不幸的是,UEFI的“roll your own”也引發了部分兼容性問題, 如同每一項新技術一樣,尤其是對於功能強大、底層運行、廣受信賴、影響深遠,並用在驅動許多新上市電腦使用的新技術而言,不免會出現兼容性問題,測試所有相關設定需要時間,測試範圍又無法全面性的情況下,因此產生了一些問題 (是好事也是壞事)。
 
此外,BIOS的技術人員,也不具備修復UEFI的工具或知識,大都因為此類工具並不存在或不廣為人知,這一點目前仍是個問題。最重要的是,UEFI的運作流程也較為複雜。(參見下圖)
 
 
 
UEFI平台初始化啟動流程(Zimmer、Dasari及Brogan 2009年論文第16頁)
 
安全隱憂
 
由於攻擊UEFI可以長時間並持續攻擊,且傳統掃描方法大部分無法檢測到,因此駭客極力尋求取得管理者權限的方法或升級用戶權限,並直接寫入UEFI串列週邊介面或稱SPI,一塊儲存電腦啟動訊息的受信閃存晶片。一旦成功後,駭客們便能夠在更多系統資源加載過程中獲得權限,接下來就能夠搞出一切可惡的低級把戲。
 
很明顯地,保護SPI安全性是非常重要的,從內部設計角度而言,主要由SMM (系統管理模式) 進行的, SMM就好像是SPI的安全監視器,旨在確保載入的二進位數據的完整性,但是SMM本身已被發現存在安全性漏洞,可以允許執行任意代碼,這個漏洞已經被揭露出來,透過這個揭露試圖讓所有的廠商加快評估他們自己的代碼中的漏洞,儘管廠商往往並不相信其中會存在漏洞。
 
請記住,UEFI只是一種規範,各大廠商紛紛發布了自認為對操作系統及其硬體最佳的版本。這就意味著不同廠商設備之間,有著很大的差異。此外,一些廠商還滿懷信心地發布了自己的開發的程式碼,對於消費者而言是否具有價值有待商榷,但對於一般用戶 (或有經驗的用戶) 卻很難刪除。如同往常一樣,急於上市往往會造成安全上隱憂。
 
ESET 【UEFI掃描器功能】阻擋新型威脅攻擊
 
對於安全軟體開發產業而言,UEFI所引發的潛在新型攻擊隱憂意味著,針對UEFI內部結構實施掃描的迫切性,變得日益重要。因此,全球資安大廠ESET率先啟動了相關潛在威脅的分析研究。最初幾乎沒有關於UEFI威脅的資訊,但由於ESET擁有遍布全球的資安威脅情資系統,因此開始了潛在威脅的樣本採集、驗證和分析工作,以便於保護這日益突顯的薄弱環節。 
 
某種意義上來說,目前收集到的傳播病毒樣本,在日後公布分析結論之前,此類威脅仍停留在理論層面。對於任何一項新技術而言,最初的漏洞攻擊行為,尤其是成功的,往往都是預警著未來同類型攻擊的前兆。一旦攻擊者發現UEFI漏洞的“殺手級應用”, 除非硬體和軟體廠商聯合提供修補程式,否則我們將會看到更多這樣的攻擊行為。 

隨著駭客工具程式針對於UEFI攻擊變得更多更複雜,即時修補程式的部署是企業環境的常見問題,UEFI將持續成為受攻擊目標。有效的防護UEFI掃描器並阻止這樣威脅的需求,也將隨之不斷增長,這也是ESET於2018年推出新版功能的初衷。
 
全球資安大廠ESET一直致力開發主動偵測、多層級的安全技術,並結合自動化的機器學習和人類知識,基於30 年的研究經驗,為各種規模的企業和端點平台,提供主動和智慧的防護產品或解決方案。連年榮獲Virus Bulletin 100獎項肯定, 優異的成績持續保持業界領先地位。全球擁有超過1億的用戶,代理機構遍及全球超過180個國家,支援多種語系,並提供在地化的服務協助、是個人及企業值得信賴的防毒軟體品牌。
 
有關2018新版功能或其他資安需求,請洽ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/