Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), phối hợp với Cơ quan An ninh Quốc gia (NSA), đã ban hành hướng dẫn mới kêu gọi các doanh nghiệp xác minh và quản lý cấu hình UEFI Secure Boot nhằm chống lại các mối đe dọa bootkit. Hướng dẫn này nhấn mạnh tầm quan trọng của việc duy trì bảo mật thông tin hệ thống khỏi các cuộc tấn công cấp độ firmware, đặc biệt khi các lỗ hổng CVE nghiêm trọng có thể bị khai thác.
Tài liệu này, được phát hành vào tháng 12 năm 2025 dưới dạng Thông tin An ninh mạng (CSI), đề cập đến các lỗ hổng đã được biết đến như PKFail, BlackLotus, và BootHole. Những lỗ hổng này có khả năng vượt qua các lớp bảo vệ trong quá trình khởi động hệ thống. Các doanh nghiệp lơ là việc kiểm tra và quản lý cấu hình UEFI Secure Boot sẽ đối mặt với rủi ro cao hơn từ phần mềm độc hại firmware dai dẳng.
Hiểu về UEFI Secure Boot và Cơ chế hoạt động
UEFI Secure Boot, được giới thiệu vào năm 2006, là một cơ chế bảo mật quan trọng trong firmware của hệ thống. Nó thực thi các chính sách khởi động bằng cách sử dụng chứng chỉ và giá trị băm được lưu trữ trong bốn biến chính:
- Platform Key (PK): Khóa nền tảng, quản lý các khóa KEK.
- Key Exchange Key (KEK): Khóa trao đổi, dùng để xác thực quyền ghi vào cơ sở dữ liệu cho phép (DB) và cơ sở dữ liệu thu hồi (DBX).
- Allowed Database (DB): Cơ sở dữ liệu chứa các chứng chỉ hoặc giá trị băm của các bộ nạp khởi động (bootloader) và trình điều khiển (driver) hợp lệ.
- Revocation Database (DBX): Cơ sở dữ liệu chứa các chứng chỉ hoặc giá trị băm của các bộ nạp khởi động và trình điều khiển không hợp lệ hoặc đã bị thu hồi.
Cơ chế này ngăn chặn việc thực thi các nhị phân khởi động không được ký, từ đó giảm thiểu rủi ro chuỗi cung ứng. Điều này đặc biệt quan trọng trong quá trình chuyển đổi từ các chứng chỉ Microsoft 2011 hết hạn sang các phiên bản 2023 mới hơn.
Mặc dù cài đặt mặc định trên hầu hết các thiết bị chặn phần mềm độc hại không xác định, các cấu hình sai – thường do sử dụng khóa thử nghiệm hoặc vô hiệu hóa chế độ Secure Boot – có thể khiến hệ thống gặp nguy hiểm, ảnh hưởng đến tổng thể an ninh mạng của tổ chức.
Các lỗ hổng CVE và Mối đe dọa Bootkit
Lịch sử đã ghi nhận nhiều trường hợp các lỗ hổng nghiêm trọng làm suy yếu cơ chế bảo vệ của UEFI Secure Boot, tạo điều kiện cho các cuộc tấn công bootkit.
PKFail: Lỗ hổng Chứng chỉ Thử nghiệm
Sự cố PKFail liên quan đến việc các thiết bị được xuất xưởng với các chứng chỉ thử nghiệm không đáng tin cậy. Điều này cho phép kẻ tấn công dễ dàng bỏ qua cơ chế Secure Boot, mặc dù hệ thống đã được cấu hình để bật tính năng này.
BlackLotus (CVE-2023-24932): Khai thác Bootloader
Lỗ hổng BlackLotus, được định danh là CVE-2023-24932, đã khai thác các lỗ hổng trong bộ nạp khởi động (bootloader). Nó cho phép kẻ tấn công vô hiệu hóa cơ chế thực thi của Secure Boot, ngay cả khi các chỉ báo trạng thái cho thấy Secure Boot vẫn đang hoạt động. Điều này làm cho việc phát hiện trở nên khó khăn hơn.
BootHole: Lỗ hổng GRUB và Vượt qua DBX
Các lỗ hổng BootHole trong GRUB (Grand Unified Bootloader) cho phép thực thi mã tùy ý thông qua các cấu hình bị lỗi. Trên phần cứng cũ, những cấu hình này có thể làm tràn bộ nhớ DBX. Những sự cố này nhấn mạnh sự cần thiết phải kiểm tra định kỳ, không chỉ dựa vào các công nghệ như TPM (Trusted Platform Module) hoặc BitLocker.
Hướng dẫn Xác minh và Quản lý Cấu hình UEFI Secure Boot
Để đảm bảo an toàn thông tin cho hệ thống, các quản trị viên cần thực hiện các bước cụ thể để xác minh và quản lý cấu hình UEFI Secure Boot một cách hiệu quả.
Xác minh trạng thái Secure Boot
Bước đầu tiên là xác nhận rằng UEFI Secure Boot đang được thực thi trên hệ thống:
- Đối với người dùng Windows: Chạy lệnh sau trong PowerShell (với quyền quản trị):
Confirm-SecureBootUEFIKết quả
Truecho biết Secure Boot đang hoạt động. Nếu trả vềFalse, hệ thống đang gặp rủi ro. - Đối với người dùng Linux: Sử dụng lệnh sau trong terminal:
sudo mokutil --sb-stateKết quả sẽ hiển thị trạng thái hiện tại của Secure Boot, ví dụ:
SecureBoot enabled.
Phân tích biến UEFI
Sau khi xác nhận trạng thái, việc phân tích các biến UEFI là cần thiết để kiểm tra tính toàn vẹn của cấu hình:
- Xuất các biến UEFI:
- Phân tích bằng công cụ chuyên dụng:
Trên Windows, bạn có thể sử dụng Get-SecureBootUEFI trong PowerShell. Trên Linux, công cụ efi-readvar có thể được sử dụng để đọc các biến này.
Sử dụng các công cụ từ GitHub của NSA để phân tích chứng chỉ và giá trị băm. Các cấu hình mong đợi bao gồm PK và KEK của nhà cung cấp hệ thống, các chứng chỉ CA (Certificate Authority) của Microsoft 2011/2023 trong DB, và các giá trị băm trong DBX mà không có bất kỳ khóa thử nghiệm hoặc chế độ cho phép nào. Bất kỳ sự sai lệch nào cũng có thể chỉ ra một lỗ hổng CVE tiềm tàng hoặc cấu hình không an toàn.
Biện pháp Khắc phục và Phòng ngừa
Để tăng cường bảo mật và vá các lỗ hổng CVE, các tổ chức cần thực hiện các biện pháp sau:
- Khôi phục và cập nhật: Khôi phục về cài đặt gốc thông qua UEFI setup hoặc áp dụng các bản cập nhật firmware/hệ điều hành (OS) cung cấp các capsule cập nhật.
- Tích hợp vào quy trình: Đối với các doanh nghiệp, cần tích hợp các kiểm tra Secure Boot vào quy trình thử nghiệm mua sắm và quy trình Quản lý rủi ro chuỗi cung ứng (SCRM).
- Cấu hình nâng cao: NSA khuyến nghị tùy chỉnh Secure Boot thay vì vô hiệu hóa để kiểm soát chặt chẽ hơn. Hướng dẫn này nhấn mạnh việc sử dụng các chế độ kiểm tra đầy đủ và tránh sử dụng Mô-đun Hỗ trợ Tương thích (CSM – Compatibility Support Module), vì nó có thể làm giảm mức độ bảo mật.
CSI này trang bị cho các đội ngũ IT khả năng bảo vệ tính toàn vẹn của quá trình khởi động trước các mối đe dọa đang phát triển. Việc duy trì cấu hình Secure Boot chính xác là yếu tố then chốt trong chiến lược bảo mật thông tin toàn diện của mọi tổ chức.
