5 月 8 日消息,据一篇于 5 月 7 日发布的技术披露,络操作系统镜像分发工具 iVentoy(版本 1.0.2)被指存在潜在安全问题。该工具在 Windows 系统下安装了未签名的内核驱动程序,并加载了一个可疑的证书。
iVentoy 是由知名开源工具 Ventoy 的作者在 2024 年 6 月推出的新项目,后者是一款常用于创建 USB 启动盘的工具。iVentoy 可视为 PXE 服务器的增强版本,支持通过络传输操作系统镜像,实现多台设备同时从络启动并安装系统。
按照官方说明,iVentoy 操作便捷,管理员只需将 ISO 镜像放置到指定目录,客户端即可通过 PXE 启动方式加载系统镜像进行安装。该工具支持 x86 Legacy BIOS、IA32 UEFI、x8664 UEFI 和 ARM64 UEFI 等多种启动模式,兼容超过 110 种操作系统,包括 Windows、Linux 和 VMware 系统。
近期,一些用户在 GitHub 及 Reddit 上反馈称,iVentoy 1.0.2 在 Windows 安装过程中存在安全隐患。报告指出,该版本会加载未经验证的内核驱动,并包含一个名为“JemmyLoveJenny EV Root CA0”的自签名证书。相关文件在 VirusTotal 上被标记为可疑,Windows Defender 也发出警告提示。
此前,Cisco Talos 在 2023 年的研究中已提醒,此类自签名证书可能被攻击者用于绕过驱动签名机制,借助修改时间戳等手段加载恶意驱动,从而突破系统安全限制。
对此,iVentoy 的开发者 Hailong Sun(名 longpanda)作出回应。他表示,问题起源于工具在 WinPE 环境中使用了开源项目 httpdisk 的驱动来实现络挂载 ISO 镜像。由于 Windows 要求驱动必须经过签名,他曾尝试采用已签名的 httpdisk 驱动版本,但由于新版 Windows 不再接受该签名,最终改用测试模式启动 WinPE 来绕过签名检查。
他进一步说明,这些未签名驱动仅在内存中运行,不会写入最终的操作系统。此外,在最新版本 1.0.21 中,已经移除了涉及问题的驱动代码和证书调用逻辑。