答案已发布26 来源
CVE-2026-8863:当微软签名成为Secure Boot的“后门”
CVE 2026 8863允许攻击者利用已获微软签名但过时的UEFI shim,绕过Secure Boot并在系统启动前执行恶意代码,CVSS评分为7.8。 问题根源在于供应链:多家软件厂商使用了不再接收安全更新的旧版开源shim组件,并将其永久留在了用户的EFI分区。
79K0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What was the Secure Boot bypass vulnerability (CVE-2026-8863) disclosed in Microsoft's June 2026 Patch Tuesday, including the affected UEFI. Article summary: CVE-2026-8863 is a **UEFI Secure Boot security feature bypass vulnerability** listed by Microsoft on June 9, 2026, involving multiple Microsoft-signed UEFI shim bootloaders that can be used to bypass Secure Boot protecti. Topic tags: general, general web, user generated, documentation. Reference image context from search candidates: Reference image 1: visual subject "# Microsoft Patch Tuesday April 2026: Critical Vulnerabilities, RDP and Secure Boot Zero-Days Impacting Windows Systems. This release is distinguished by the presence of **11 Criti" source context "Microsoft Patch Tuesday April 2026: Critical Vulnerabilities, RDP ..." Reference image 2: visual subje
在2026年6月9日的“补丁星期二”活动中,微软披露了一个影响深远的UEFI Secure Boot安全功能绕过漏洞,编号为CVE-2026-8863 。这个漏洞的核心,是一批拥有微软合法数字签名的UEFI shim引导程序。它们因有效签名而被固件无条件信任,但也正因如此,这种信任变成了一把致命的双刃剑
。
简单来说,Secure Boot的初衷是在操作系统加载前建立一条信任链,确保只有受信任的代码才能运行。但CVE-2026-8863的发现证明,当这条信任链中最底层的“合法”组件存在缺陷时,整套安全体系便会土崩瓦解。
漏洞根源:一个“过期”的供应链问题
问题的核心并非恶意代码,而是一个供应链上的“僵尸”组件。受影响的程序源自开源的shim项目。在UEFI启动流程中,shim是一个小巧的引导加载程序,它的作用是在固件和像GRUB2这样的大型引导程序之间搭建一座桥梁,让Linux等第三方操作系统也能兼容Secure Boot 。
为了让这些第三方系统能被广泛信任,微软曾用自己的证书为shim的特定版本进行过签名。而这次出问题的,主要是shim 0.9及更早的版本。关键在于,这些老旧版本缺乏对Secure Boot高级定位机制(SBAT) 的正确支持与验证 。
可以把SBAT理解为一种“精准吊销”机制。在过去,如果发现某个引导程序有漏洞,可能要吊销整个厂商的签名证书,这会导致“一竿子打翻一船人”。而SBAT允许安全社区精确地封杀掉特定世代、特定版本号的问题引导程序 。麻烦的是,这批被微软签名的旧版shim根本不认SBAT这套新规矩,这就导致即使它们的漏洞早已暴露,市面上也有了安全的新版本,这批“僵尸引导程序”依然能在任何一台电脑上顺利启动
。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人们还问
“CVE-2026-8863:当微软签名成为Secure Boot的“后门””的简短答案是什么?
CVE 2026 8863允许攻击者利用已获微软签名但过时的UEFI shim,绕过Secure Boot并在系统启动前执行恶意代码,CVSS评分为7.8。
首先要验证的关键点是什么?
CVE 2026 8863允许攻击者利用已获微软签名但过时的UEFI shim,绕过Secure Boot并在系统启动前执行恶意代码,CVSS评分为7.8。 问题根源在于供应链:多家软件厂商使用了不再接收安全更新的旧版开源shim组件,并将其永久留在了用户的EFI分区。
接下来在实践中我应该做什么?
修复方案并非简单打完补丁,而是需要通过更新UEFI禁止签名数据库(DBX)来“拉黑”这些合法签名的引导程序,这给企业IT部署带来了巨大的兼容性挑战。
来源
- windowsforum.comCVE-2026-8863 Secure Boot Bypass: What It Means for Windows ...
- dbugs.ptsecurity.comCVE-2026-8863 — Wipedrive+6 - dbugs - Positive Technologies
- kb.cert.orgMicrosoft-signed UEFI shim bootloaders vulnerable to Secure ...
- kb.cert.orgMicrosoft-signed UEFI shim bootloaders vulnerable to Secure ...
- docs.rsCrate sbatCopy item path
- tenable.comCVE-2026-8863 | Tenable®
- vistanetinc.comVistaNet Home - Vista Net, Inc.
Loading comments...
Comments
0 comments