玩大了！UEFI BIOS源代码、签名密钥泄露

        这事儿如果发生在几天前，一定会被认为是愚人节玩笑。位于台湾的一个 FTP 服务器近日被意外公开访问，之上保存的 AMI Aptio UEFI BIOS 源代码被泄露了出来，其中甚至包括 AMI 专用的 UEFI BIOS 签名测试密钥。

        该服务器本来应该是高度机密的，但因为安保措施不到位而被外人进入。据推测，这台服务器应该是主板厂商捷波(Jetway)的。

        目前，LGA1155、Socket FM 平台的大多数、Socket AM3+ 平台的一部分主板都运行着 AMI Aptio UEFI BIOS，而这一泄漏事故意味着所有这些主板的安全性都遭到了严重威胁，不管是哪家品牌的。

        源代码中的文件显示，这批代码大概是在 2012 年 2 月份生成的，非常新，极有可能就是主板厂商们现在使用的，尤其是 Ivy Bridge。这部分代码并未做任何修改，意味着主板厂商并未对此做任何变动，都是直接沿用的。

        而签名测试密钥是给所有主板厂商用来对 BIOS 更新进行签名的，确保每次更新都是来自厂商官方的正规文件。如果图谋不轨的人拿到了这个密钥，就可以仿制 BIOS 更新并在其中加入恶意代码，然后再黑掉厂商的支持网站，替换掉原版的 BIOS 更新文件。

        因为 BIOS 是一台电脑最底层的控制系统，用户一旦刷入了这种恶意 BIOS 更新文件，就等于把系统的完全控制权交了出去，甚至是绝大多数 Ring-0 级别的系统功能都敞开了大门。

        不信？Ivy Bridge 平台密钥的一部分是这样的：

        308204A30201000282010100ED71D63F21FF0B4563A43D871D22448FC9...

        参考 AMI 详尽的 UFEI 更新文档，你想怎么干就随你了。

        发现这一 FTP 服务器出于公开状态的 Adam Caudill、 Brandon Wilson 指出：“密钥和源代码泄露之后，任何人都有可能(而且很轻松地)制作恶意 UEFI 更新，并且能在主板上验证通过并安装。如果厂商在其它产品上使用同样的密钥，影响可能更糟。这种泄露是高级企业谍战里梦寐以求的。创建一个几乎无法检测、 永久有效的系统安全漏洞是秘密搜集情报的理想途径。”

        据称，这台 FTP 服务器上还有内部邮件、操作系统镜像(甚至是 GHOST 软件)、人物照片、高分辨率 PCB 图片、内部规格表、写满了个人数据的 Excel 文档，都堪称“宝库”，当然它们都没法和 BIOS 的泄露相提并论。

        AMI 方面已经对此迅速做出回应，声称 Ivy Bridge 部分的签名密钥只是个默认测试密钥，AMI 建议客户在实际使用前更换，但不知道主板厂商是否都这么做了。