آسیب‌پذیری جدیدی در UEFI کشف شد

یک آسیب‌پذیری جدید در UEFI (Unified Extensible Firmware Interface) کشف شده است که به حمله‌کنندگان امکان می‌دهد تا به‌راحتی کامپیوترهای ویندوزی آسیب‌دیده را با استفاده از ابزارهای بازیابی سیستم دور بزنند.

به گزارش تک‌ناک، طبق گزارش Bleeping Computer، این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا Secure Boot را نادیده بگیرند و بوت‌کیت‌هایی را اجرا کنند که می‌توانند برای سیستم‌عامل نامرئی باشند.

شرکت مایکروسافت این آسیب‌پذیری را با کد CVE-2024-7344 و نام Howyar Taiwan Secure Boot Bypass شناسایی کرده است. این آسیب‌پذیری به‌ طور عمده از طریق ابزارهای بازیابی سیستم که توسط برخی نرم‌افزارهای شخص ثالث طراحی شده‌اند، گسترش می‌یابد.

گفته می‌شود که منبع اصلی مشکل یک از بارگذار PE سفارشی است، که به هر باینری UEFI اجازه می‌دهد تا بارگذاری شود، حتی اگر آن باینری تأیید نشده باشد.

مشخص شده است که این آسیب‌پذیری به هیچ‌یک از خدمات معتمد مانند: LoadImage و StartImage وابسته نیست، که به‌ طور معمول در سیستم‌های امن استفاده می‌شوند. به همین دلیل، مهاجمان می‌توانند با تغییر بوت‌لودر پیش‌فرض سیستم‌عامل ویندوز در پارتیشن EFI، نسخه آسیب‌پذیر آن را جایگزین و یک تصویر PE XOR رمزگذاری‌شده را نصب کنند. بعد از نصب، سیستم آلوده شروع به بوت شدن با داده‌های مخرب از این تصویر XOR می‌کند.

از ویژگی‌های خطرناک این آسیب‌پذیری می‌توان به دور زدن کامل Secure Boot اشاره کرد که در سطح UEFI عمل می‌کند، به همین دلیل آنتی‌ویروس‌ها و تدابیر امنیتی نرم‌افزاری به هیچ عنوان قادر به شناسایی و مقابله با این تهدید نیستند. حتی نصب مجدد سیستم‌عامل نیز نمی‌تواند از بروز مجدد این حمله جلوگیری کند.

در حال حاضر، چندین ابزار بازیابی سیستم، که توسط توسعه‌دهندگان مختلف شخص ثالث طراحی شده‌اند، به‌طور بالقوه آسیب‌پذیری جدید UEFI را هدف قرار می‌دهند.

این ابزارها اغلب برای کمک به بازیابی سیستم، نگهداری دیسک و انجام پشتیبان‌گیری‌ها استفاده می‌شوند. برخی از این ابزارهای آسیب‌دیده شامل Howyar SysReturn، Greenware GreenGuard و Radix SmartRecovery هستند.

در همین راستا، محققان امنیتی ESET لیستی از نرم‌افزارهای آسیب‌دیده منتشر کرده‌اند، که به شرح زیر است:

• Howyar SysReturn قبل از نسخه 10.2.023_20240919
• Greenware GreenGuard قبل از نسخه 10.2.023-20240927
• Radix SmartRecovery قبل از نسخه 11.2.023-20240927
• Sanfong EZ-back System قبل از نسخه 10.3.024-20241127
• WASAY eRecoveryRX قبل از نسخه 8.4.022-20241127
• CES NeoImpact قبل از نسخه 10.1.024-20241127
• SignalComputer HDD King قبل از نسخه 10.3.021-20241127

خبر خوب این است که مایکروسافت و شرکت امنیتی ESET اقداماتی را برای مقابله با این تهدید اتخاذ کرده‌اند. طبق گزارش‌ها، ESET با فروشندگان نرم‌افزارهای آسیب‌دیده تماس گرفته و از آنها درخواست کرده است تا مشکل امنیتی را رفع کنند.

شرکت مایکروسافت نیز در به‌روزرسانی جدید ویندوز که در روز سه‌شنبه منتشر شد، گواهی‌های ابزارهای آسیب‌پذیر را باطل کرده است و تلاش دارد تا از گسترش این تهدید جلوگیری کند.

این مشکل همچنان تهدیدی جدی برای امنیت کاربران ویندوز به‌حساب می‌آید و متخصصان امنیتی توصیه می‌کنند که کاربران همیشه از به‌روزرسانی‌های امنیتی آخرین نسخه سیستم‌عامل خود بهره‌مند شوند تا از آسیب‌پذیری‌ها و حملات احتمالی جلوگیری کنند.

نوشته آسیب‌پذیری جدیدی در UEFI کشف شد اولین بار در تک ناک - اخبار تکنولوژی روز جهان و ایران. پدیدار شد.