یک آسیبپذیری جدید در UEFI (Unified Extensible Firmware Interface) کشف شده است که به حملهکنندگان امکان میدهد تا بهراحتی کامپیوترهای ویندوزی آسیبدیده را با استفاده از ابزارهای بازیابی سیستم دور بزنند.
به گزارش تکناک، طبق گزارش Bleeping Computer، این آسیبپذیری به مهاجمان اجازه میدهد تا Secure Boot را نادیده بگیرند و بوتکیتهایی را اجرا کنند که میتوانند برای سیستمعامل نامرئی باشند.
شرکت مایکروسافت این آسیبپذیری را با کد CVE-2024-7344 و نام Howyar Taiwan Secure Boot Bypass شناسایی کرده است. این آسیبپذیری به طور عمده از طریق ابزارهای بازیابی سیستم که توسط برخی نرمافزارهای شخص ثالث طراحی شدهاند، گسترش مییابد.
گفته میشود که منبع اصلی مشکل یک از بارگذار PE سفارشی است، که به هر باینری UEFI اجازه میدهد تا بارگذاری شود، حتی اگر آن باینری تأیید نشده باشد.
مشخص شده است که این آسیبپذیری به هیچیک از خدمات معتمد مانند: LoadImage و StartImage وابسته نیست، که به طور معمول در سیستمهای امن استفاده میشوند. به همین دلیل، مهاجمان میتوانند با تغییر بوتلودر پیشفرض سیستمعامل ویندوز در پارتیشن EFI، نسخه آسیبپذیر آن را جایگزین و یک تصویر PE XOR رمزگذاریشده را نصب کنند. بعد از نصب، سیستم آلوده شروع به بوت شدن با دادههای مخرب از این تصویر XOR میکند.
از ویژگیهای خطرناک این آسیبپذیری میتوان به دور زدن کامل Secure Boot اشاره کرد که در سطح UEFI عمل میکند، به همین دلیل آنتیویروسها و تدابیر امنیتی نرمافزاری به هیچ عنوان قادر به شناسایی و مقابله با این تهدید نیستند. حتی نصب مجدد سیستمعامل نیز نمیتواند از بروز مجدد این حمله جلوگیری کند.
در حال حاضر، چندین ابزار بازیابی سیستم، که توسط توسعهدهندگان مختلف شخص ثالث طراحی شدهاند، بهطور بالقوه آسیبپذیری جدید UEFI را هدف قرار میدهند.
این ابزارها اغلب برای کمک به بازیابی سیستم، نگهداری دیسک و انجام پشتیبانگیریها استفاده میشوند. برخی از این ابزارهای آسیبدیده شامل Howyar SysReturn، Greenware GreenGuard و Radix SmartRecovery هستند.
در همین راستا، محققان امنیتی ESET لیستی از نرمافزارهای آسیبدیده منتشر کردهاند، که به شرح زیر است:
- Howyar SysReturn قبل از نسخه 10.2.023_20240919
- Greenware GreenGuard قبل از نسخه 10.2.023-20240927
- Radix SmartRecovery قبل از نسخه 11.2.023-20240927
- Sanfong EZ-back System قبل از نسخه 10.3.024-20241127
- WASAY eRecoveryRX قبل از نسخه 8.4.022-20241127
- CES NeoImpact قبل از نسخه 10.1.024-20241127
- SignalComputer HDD King قبل از نسخه 10.3.021-20241127
خبر خوب این است که مایکروسافت و شرکت امنیتی ESET اقداماتی را برای مقابله با این تهدید اتخاذ کردهاند. طبق گزارشها، ESET با فروشندگان نرمافزارهای آسیبدیده تماس گرفته و از آنها درخواست کرده است تا مشکل امنیتی را رفع کنند.
شرکت مایکروسافت نیز در بهروزرسانی جدید ویندوز که در روز سهشنبه منتشر شد، گواهیهای ابزارهای آسیبپذیر را باطل کرده است و تلاش دارد تا از گسترش این تهدید جلوگیری کند.
این مشکل همچنان تهدیدی جدی برای امنیت کاربران ویندوز بهحساب میآید و متخصصان امنیتی توصیه میکنند که کاربران همیشه از بهروزرسانیهای امنیتی آخرین نسخه سیستمعامل خود بهرهمند شوند تا از آسیبپذیریها و حملات احتمالی جلوگیری کنند.
