رفع باگ جدید امنیتی مایکروسافت یک سال زمان می برد

در اوایل هفته جاری، مایکروسافت یک پچ منتشر کرد تا باگ جدید امنیتی Secure Boot bypass را که توسط بوت‌کیت BlackLotus در مارس گزارش شده بود، برطرف کند. با این حال به نظر می رسد حل کامل این مشکل حداقل یک سال زمان نیاز دارد.

به گزارش تکناک، آسیب‌پذیری اصلی CVE-2022-21894، در ژانویه اصلاح شده بود، اما پچ جدید برای CVE-2023-24932، به دلیل سواستفاده فعال از یک راه دیگر برای سیستم‌هایی که در آن‌ها ویندوز 10 و 11 و نسخه‌های ویندوز سرور قدیمی تر تا ویندوز سرور 2008 در حال اجرا هستند، منتشر شده است.

بوت‌کیت BlackLotus، اولین نرم‌افزار مخرب در دنیا است که می‌تواند محافظت‌های Secure Boot را از بین ببرد و به اجرای کد مخرب پیش از شروع بارگذاری ویندوز و محافظت‌های امنیتی آن بپردازد. Secure Boot برای بیش از ده سال در اکثر کامپیوترهای ویندوزی که توسط شرکت‌های مانند Dell، Lenovo، HP، Acer و غیره… فروخته شده‌اند به صورت پیش‌فرض فعال شده است. کامپیوترهایی که در حال اجرای ویندوز 11 هستند، باید آن را فعال کنند تا به الزامات سیستم نرم‌افزاری دست پیدا کنند.

مایکروسافت می‌گوید که این آسیب‌پذیری می‌تواند توسط یک نفوذی با دسترسی فیزیکی به سیستم یا مدیریت در یک سیستم مورد بهره برداری قرار بگیرد. این می‌تواند بر روی کامپیوترهای فیزیکی و ماشین‌های مجازی با Secure Boot فعال تأثیر بگذارد.

ما به چند دلیل بر روی پچ جدید تأکید می‌کنیم، بخاطر اینکه برخلاف بسیاری از پچ‌های ویندوز با اولویت بالا، پس از نصب به‌روزرسانی حداقل برای چند ماه به صورت پیش‌فرض غیرفعال خواهد شد. این پچ تغییراتی را در مدیریت بوت ویندوز می‌طلبد که پس از فعال شدن قابل بازگشت نیستند.

یکی از چندین مقاله پشتیبانی مایکروسافت درباره به‌روزرسانی اینگونه می گوید: ویژگی Secure Boot دقیقاً مدیریت مدیوم بوت را کنترل می‌کند که هنگام شروع اجرا سیستم‌عامل، اجازه بارگذاری آن مدیوم را می‌دهد و اگر این پچ به درستی فعال نشود، احتمالاً باعث اختلال و جلوگیری از راه‌اندازی سیستم می‌شود.

علاوه بر این، پس از فعال شدن  وصله های امنیتی، کامپیوتر شما دیگر نمی‌تواند از مدیوم‌های بوت قدیمی استفاده کند . در لیست طولانی مدیوم های تحت تأثیر آسیب مدیوم نصب ویندوز مانند دی‌وی‌دی‌ها و درایوهای USB ساخته شده از فایل‌های ISO مایکروسافت؛  Image های نصب سفارشی ویندوز که توسط دپارتمان IT نگهداری می‌شوند؛ پشتیبان‌گیری کامل سیستم؛ درایوهای بوت شبکه از جمله آن‌هایی که توسط دپارتمان IT برای رفع خطاهای ماشین‌ها و نصب تصاویر جدید ویندوز استفاده می‌شود؛ درایوهای بوتی که از ویندوز PE استفاده می‌کنند؛ و رسانه بازیابی که با کامپیوترهای OEM فروخته می‌شود، قرار دارند.

مایکروسافت نمی‌خواهد به‌طور ناگهانی سیستم هیچ‌کدام از کاربران را غیرقابل بوت کند، لذا این به‌روزرسانی را طی چند ماه آینده به صورت مرحله‌ای عرضه خواهد کرد. نسخه اولیه این پچ نیاز به همکاری کاربران برای فعال شدن دارد .ابتدا باید به بروزرسانی‌های امنیتی ماه می دست یابید، سپس از یک فرآیند پنج مرحله‌ای برای بروزرسانی دستی و اعمال یک جفت “revocation files” استفاده کنید که بخش پنهان EFI بوت و رجیستری سیستم شما را به‌روز می‌کند. این فایل‌ها باعث می‌شوند که نسخه‌های قدیمی و آسیب‌پذیر بوت‌لودر توسط کامپیوترها دیگر قابل اعتماد نباشند.

یک به‌روزرسانی ثانویه در ماه جولای عرضه خواهد شد که بطور پیش‌فرض پچ را فعال نخواهد کرد، اما فعال‌سازی آن را آسان‌تر خواهد کرد. به‌روزرسانی سوم در یک چهارم اول 2024 پچ را به‌صورت پیش‌فرض فعال می‌کند و مدیوم بوت قدیمی را در تمام کامپیوترهای ویندوزی که پچ شده‌اند، بی‌استفاده می‌کند. مایکروسافت می‌گوید که در حال جستجوی فرصت‌هایی برای شتاب بخشیدن به این برنامه زمانبندی هستیم، اما مشخص نیست که این شتاب چه نوع اقداماتی را شامل خواهد شد.

ژان یان بوتین، مدیر تحقیقات تهدیدات ESET ، در هنگام گزارش اولیه BlackLotus و دیگر بوت‌کیت‌ها به Ars اهمیت و شدت آن را توصیف کرده بود.

او در این رابطه گفت: نتیجه نهایی این است که بوت‌کیت UEFI BlackLotus قادر است تا خود را در سیستم‌های به‌روز با استفاده از آخرین نسخه ویندوز با Secure Boot فعال، نصب کند. با وجود اینکه آسیب‌پذیری قدیمی است، هنوز هم می‌توان از آن برای دور زدن تمام تدابیر امنیتی و به خطر انداختن فرایند بوت‌کردن سیستم و به مهاجم کنترل مرحله اولیه راه اندازی سیستم را داد. همچنین، این نشان می‌دهد که حمله‌کنندگان به جای استفاده از فریمور برای پیاده‌سازی ابزارهای خود، بر روی بخش ESP (EFI System Partition) تمرکز می‌کنند و از پنهان کاری به منظور راحتی در استقرار صرف نظر می‌کند، اما با امکانات مشابه.

این پچ، تنها حادثه‌ امنیتی اخیر نیست که مشکلات پچ‌ آسیب‌پذیری‌های Secure Boot و UEFI را برجسته کرده است؛ MSI اخیراً کلیدهای امضای دیجیتالی اش در یک حمله باج‌افزار به بیرون درز کرده است، و هیچ راه ساده‌ای برای این شرکت وجود ندارد که به محصولات خود بگوید به به‌روزرسانی‌های میان‌افزار امضا شده با کلید در معرض خطر اعتماد نکنند.