事件背景
5月7日，科技媒體borncity披露知名裝機工具iVentoy 1.0.2版本存在重大安全隱患。該工具系開源項目Ventoy（全球裝機量超500萬次的USB啟動盤制作工具）開發(fā)者于2024年6月推出的網(wǎng)絡裝機系統(tǒng)，采用PXE協(xié)議實現(xiàn)多設備并發(fā)安裝操作系統(tǒng)，支持Windows/Linux/VMware等110余種系統(tǒng)鏡像。

漏洞詳情
據(jù)Reddit技術社區(qū)與GitHub開發(fā)者論壇反饋，該版本在Windows部署過程中存在兩個關鍵風險：

1. 內(nèi)核驅(qū)動程序隱患：強制安裝未經(jīng)嚴格驗證的httpdisk驅(qū)動，該開源組件用于網(wǎng)絡掛載ISO鏡像。Windows Defender檢測到其存在內(nèi)存駐留風險
2. 證書信任危機：植入名為”JemmyLoveJenny EV Root CA0″的自簽名證書，VirusTotal反病毒平臺標記該證書關聯(lián)文件為惡意程序

安全警示
思科Talos安全團隊曾在2023年安全報告中警告，此類證書可被用于偽造驅(qū)動簽名時間戳，進而突破Windows硬件兼容性策略（WHQL），實現(xiàn)驅(qū)動白名單繞過。微軟安全響應中心數(shù)據(jù)顯示，約17%的供應鏈攻擊通過類似手法實施。

開發(fā)者響應
項目負責人Hailong Sun（GitHub ID: longpanda）在漏洞曝光6小時內(nèi)作出技術說明：

• 驅(qū)動必要性：httpdisk組件是實現(xiàn)網(wǎng)絡掛載的核心模塊，因微軟收緊驅(qū)動簽名策略，被迫啟用測試模式繞過驗證
• 風險管控：問題驅(qū)動僅在WinPE環(huán)境內(nèi)存駐留，不會寫入用戶硬盤
• 緊急修復：1.0.21版本已移除問題證書，并重構驅(qū)動加載邏輯

行業(yè)觀察
值得關注的是，iVentoy作為Ventoy生態(tài)的延伸產(chǎn)品，上線初期即獲得超過2萬次企業(yè)部署。此次事件再次引發(fā)業(yè)界對裝機工具供應鏈安全的討論。目前微軟尚未將相關證書加入吊銷列表，建議已使用1.0.2版本的用戶立即升級，企業(yè)用戶可暫時啟用組策略禁止未簽名驅(qū)動加載。