في وقت سابق من هذا الأسبوع ، أصدرت Microsoft تصحيحًا لإصلاح خطأ تجاوز التمهيد الآمن الذي استخدمته مجموعة التمهيد BlackLotus التي أبلغنا عنها في مارس. تم تصحيح الثغرة الأمنية الأصلية ، CVE-2022-21894 ، في يناير ، لكن التصحيح الجديد لـ CVE-2023-24932 يعالج حلًا بديلًا آخر تم استغلاله بنشاط للأنظمة التي تعمل بنظامي التشغيل Windows 10 و 11 وإصدارات Windows Server التي تعود إلى Windows Server 2008.
يعد BlackLotus bootkit أول برنامج ضار معروف في العالم الحقيقي يمكنه تجاوز حماية التمهيد الآمن ، مما يسمح بتنفيذ التعليمات البرمجية الضارة قبل أن يبدأ جهاز الكمبيوتر الخاص بك في تحميل Windows والعديد من وسائل الحماية الأمنية الخاصة به. تم تمكين Secure Boot بشكل افتراضي لأكثر من عقد على معظم أجهزة الكمبيوتر التي تعمل بنظام Windows التي تبيعها شركات مثل Dell و Lenovo و HP و Acer وغيرها. يجب أن تكون أجهزة الكمبيوتر التي تعمل بنظام Windows 11 ممكّنة لتلبية متطلبات نظام البرنامج.
تقول Microsoft أنه يمكن استغلال الثغرة الأمنية من قبل مهاجم له إما حق الوصول المادي إلى النظام أو حقوق المسؤول على النظام. يمكن أن يؤثر على أجهزة الكمبيوتر الفعلية والأجهزة الافتراضية مع تمكين التمهيد الآمن.
نسلط الضوء على الإصلاح الجديد جزئيًا لأنه ، على عكس العديد من إصلاحات Windows ذات الأولوية العالية ، سيتم تعطيل التحديث افتراضيًا لبضعة أشهر على الأقل بعد تثبيته وجزئيًا لأنه سيؤدي في النهاية إلى جعل وسائط تمهيد Windows الحالية غير قابلة للتمهيد. يتطلب الإصلاح تغييرات في مدير تمهيد Windows لا يمكن التراجع عنها بمجرد تمكينها.
“تتحكم ميزة Secure Boot (التمهيد الآمن) بدقة في وسائط التمهيد المسموح بتحميلها عند بدء نظام التشغيل ، وإذا لم يتم تمكين هذا الإصلاح بشكل صحيح ، فمن المحتمل أن تتسبب في حدوث اضطراب وتمنع النظام من بدء التشغيل ، كما يقول أحدهم من العديد من مقالات دعم Microsoft حول التحديث.
بالإضافة إلى ذلك ، بمجرد تمكين الإصلاحات ، لن يكون جهاز الكمبيوتر الخاص بك قادرًا على التمهيد من الوسائط القديمة القابلة للتمهيد التي لا تتضمن الإصلاحات. في القائمة الطويلة للوسائط المتأثرة: يقوم Windows بتثبيت وسائط مثل أقراص DVD ومحركات أقراص USB التي تم إنشاؤها من ملفات ISO الخاصة بـ Microsoft ؛ يقوم Windows المخصص بتثبيت الصور التي تحتفظ بها أقسام تكنولوجيا المعلومات ؛ نسخ احتياطية للنظام بالكامل ؛ محركات تمهيد الشبكة بما في ذلك تلك المستخدمة من قبل أقسام تكنولوجيا المعلومات لاستكشاف الأجهزة وإصلاحها وتثبيت صور Windows الجديدة ؛ محركات أقراص التمهيد المجردة التي تستخدم Windows PE ؛ ووسائط الاسترداد المباعة مع أجهزة الكمبيوتر الشخصية المصنّعة للمعدات الأصلية.
لعدم الرغبة في جعل أنظمة أي مستخدمين غير قابلة للتمهيد فجأة ، ستقوم Microsoft بطرح التحديث على مراحل خلال الأشهر القليلة المقبلة. يتطلب الإصدار الأولي من التصحيح تدخلاً جوهريًا من المستخدم لتمكينه – تحتاج أولاً إلى تثبيت تحديثات الأمان الخاصة بشهر مايو ، ثم استخدام عملية من خمس خطوات للتطبيق يدويًا والتحقق من زوج من “ملفات الإبطال” التي تقوم بتحديث قسم التمهيد المخفي EFI لنظامك و السجل الخاص بك. سيؤدي ذلك إلى عدم الوثوق في الإصدارات الأقدم والضعيفة من أداة تحميل التشغيل من قبل أجهزة الكمبيوتر.
سيتبع التحديث الثاني في يوليو ولن يقوم بتمكين التصحيح افتراضيًا ولكنه سيفعله أسهل لتمكين. التحديث الثالث في “الربع الأول من عام 2024” سيمكن الإصلاح افتراضيًا ويجعل وسائط التمهيد الأقدم غير قابلة للتمهيد على جميع أجهزة الكمبيوتر التي تعمل بنظام Windows. تقول Microsoft إنها “تبحث عن فرص لتسريع هذا الجدول الزمني” ، على الرغم من أنه من غير الواضح ما سيترتب على ذلك.
وصف جان إيان بوتين ، مدير أبحاث التهديدات في ESET ، خطورة BlackLotus وحزم التمهيد الأخرى لـ Ars عندما أبلغنا عنها في الأصل:
الخلاصة النهائية هي أن UEFI bootkit BlackLotus قادر على تثبيت نفسه على أنظمة محدثة باستخدام أحدث إصدار من Windows مع تمكين التمهيد الآمن. على الرغم من أن الثغرة الأمنية قديمة ، إلا أنه لا يزال من الممكن الاستفادة منها لتجاوز جميع الإجراءات الأمنية وتعريض عملية تمهيد النظام للخطر ، مما يمنح المهاجم السيطرة على المرحلة الأولى من بدء تشغيل النظام. كما يوضح الاتجاه الذي يركز فيه المهاجمون على قسم نظام EFI (ESP) بدلاً من البرامج الثابتة لغرساتهم – مما يضحي بالتخفي لتسهيل النشر – مع السماح بمستوى مماثل من القدرات.
هذا الإصلاح ليس الحادث الأمني الوحيد الأخير الذي سلط الضوء على صعوبات تصحيح مستوى منخفض من التمهيد الآمن وثغرات UEFI ؛ تم تسريب مفاتيح التوقيع الخاصة بالكمبيوتر واللوحة الأم MSI مؤخرًا في هجوم فدية ، ولا توجد طريقة بسيطة للشركة لإخبار منتجاتها بعدم الوثوق بتحديثات البرامج الثابتة الموقعة باستخدام المفتاح المخترق.
