iVentoy被曝存安全漏洞

5 月 8 日消息，据一篇于 5 月 7 日发布的技术博客披露，网络操作系统镜像分发工具 iVentoy（版本 1.0.2）被指存在潜在安全问题。该工具在 Windows 系统下安装了未签名的内核驱动程序，并加载了一个可疑的证书。

iVentoy 是由知名开源工具 Ventoy 的作者在 2024 年 6 月推出的新项目，后者是一款常用于创建 USB 启动盘的工具。iVentoy 可视为 PXE 服务器的增强版本，支持通过网络传输操作系统镜像，实现多台设备同时从网络启动并安装系统。

按照官方说明，iVentoy 操作便捷，管理员只需将 ISO 镜像放置到指定目录，客户端即可通过 PXE 启动方式加载系统镜像进行安装。该工具支持 x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI 和 ARM64 UEFI 等多种启动模式，兼容超过 110 种操作系统，包括 Windows、Linux 和 VMware 系统。

近期，一些用户在 GitHub 及 Reddit 上反馈称，iVentoy 1.0.2 在 Windows 安装过程中存在安全隐患。报告指出，该版本会加载未经验证的内核驱动，并包含一个名为“JemmyLoveJenny EV Root CA0”的自签名证书。相关文件在 VirusTotal 上被标记为可疑，Windows Defender 也发出警告提示。

此前，Cisco Talos 在 2023 年的研究中已提醒，此类自签名证书可能被攻击者用于绕过驱动签名机制，借助修改时间戳等手段加载恶意驱动，从而突破系统安全限制。

对此，iVentoy 的开发者 Hailong Sun（网名 longpanda）作出回应。他表示，问题起源于工具在 WinPE 环境中使用了开源项目 httpdisk 的驱动来实现网络挂载 ISO 镜像。由于 Windows 要求驱动必须经过签名，他曾尝试采用已签名的 httpdisk 驱动版本，但由于新版 Windows 不再接受该签名，最终改用测试模式启动 WinPE 来绕过签名检查。

他进一步说明，这些未签名驱动仅在内存中运行，不会写入最终的操作系统。此外，在最新版本 1.0.21 中，已经移除了涉及问题的驱动代码和证书调用逻辑。