Microsoft تلغي 11 وحدة Secure Boot بعد كشف ESET خطر التجاوز
أفادت Ars Technica بأن ESET عثرت على 11 صورة UEFI shim قديمة ظلت Microsoft تثق بها رغم عيوب معروفة. وألغت Microsoft الثقة بهذه الوحدات في تحديثات يونيو، لكنها لم توضح كيف استمر الخلل لسنوات.

ظلت 11 صورة UEFI shim قديمة موثوقة حتى تحديثات Microsoft في يونيو، بعدما وجد باحثو ESET أنها قد تساعد في تجاوز Secure Boot على أجهزة Windows وLinux، بحسب Ars Technica. وأفادت Ars Technica بأن الصور المتأثرة شملت واحدة على الأقل من عام 2013 وظلت موقعة رغم تحديد عيوب معروفة.
يهدف Secure Boot إلى منع البرمجيات الثابتة الخبيثة من التحميل قبل بدء نظام التشغيل. وأفادت Ars Technica بأن وحدات shim القديمة قد تسمح للمهاجم بكسر سلسلة الإقلاع الموقعة وتثبيت برمجيات ثابتة تعمل مبكرا في عملية التشغيل، بما في ذلك برمجيات خبيثة قد تبقى بعد إعادة تثبيت نظام التشغيل أو استبدال القرص الصلب.
قُدم Secure Boot في 2012 لتقليل خطر bootkits، وهو المصطلح الذي استخدمته Ars Technica للبرمجيات الثابتة الخبيثة التي تعمل قبل بدء نظام التشغيل. واستشهدت الصحيفة بأمثلة سابقة من أعوام 2018 و2020 و2022 و2023، وقالت إن الوصول الفيزيائي إلى الجهاز أحد نماذج التهديد التي يفترض أن يعالجها Secure Boot.
ESET عثرت على 11 صورة UEFI shim موثوقة
كتب باحث ESET Martin Smolár أن الخطر جاء من ملفات shim قديمة لا تزال موثوقة وليس من ثغرة جديدة. واحتاج الأسلوب إلى نسخة من shim لم يتم إلغاؤها وفهم أساسي لكيفية عمل UEFI shims، بحسب منشور البحث الذي استشهدت به Ars Technica.
تضمنت قائمة CERT التي أوردها التقرير وحدات shim استخدمتها توزيعات Linux مثل Red Hat وOpenSuse وOracle، إضافة إلى برمجيات طرف ثالث. وبنيت بعض الملفات قبل وجود حمايات مثل SBAT وقوائم MOK للحظر، بينما احتوت ملفات أخرى على أخطاء متراكمة في كودها أو في ملفات المرحلة الثانية التي تسمح بها.
تحديث يونيو ألغى الوحدات المعيبة
ألغت Microsoft أخيرا الثقة بـ 11 وحدة shim في تحديثات يونيو العادية بعدما أبلغت ESET كلا من CERT وMicrosoft، بحسب Ars Technica. وقالت الصحيفة إن الخلل استمر لأكثر من عقد في بعض الحالات.
تظل عملية الإلغاء معقدة لأن Secure Boot يستخدم قواعد ثقة متعددة وضوابط للإصدارات. ووصفت Ars Technica قاعدة db للشهادات وتجزئات التوقيع المسموح بها، وقاعدة dbx للعناصر الملغاة، وأنظمة قائمة على الإصدارات تشمل Secure Boot Advanced Targeting وSecure Boot Security Version Number.
قال التقرير إن قاعدة dbx لا تملك سوى 32kb من المساحة، ما يجعل إدراج كل مكون Linux يعمل أثناء الإقلاع غير عملي. ودفع هذا الحد Microsoft نحو آليات إلغاء قائمة على الإصدارات لتطبيقات UEFI الضعيفة.
كتب Smolár أن SBAT وSecure Boot SVN من Microsoft يلغيان الإصدارات بدلا من الملفات الفردية. ويحمل كل مكون تحميل UEFI بيانات وصفية موقعة باسم المكون ورقم الجيل، ويفحص shim هذه البيانات مقابل سياسة الحد الأدنى للإصدار قبل تحميل نفسه أو تحميل ملفات أخرى.
مستخدمو Windows وLinux لديهم فحوص مختلفة
أفادت Ars Technica بأن وحدات shim الضعيفة يمكن استخدامها ضد أجهزة Windows وLinux، رغم أن أجهزة Windows 11 Secured-core لا تبدو معرضة في حالتها الافتراضية. ولم يعد مستخدمو Windows الذين ثبتوا تحديثات Microsoft في يونيو معرضين، بحسب التقرير نفسه.
نصح التقرير مستخدمي Linux بفحص Linux Vendor Firmware Service أو مراجعة الموزع الخاص بهم. كما أشار إلى أداة uefi-dbx-audit كطريقة للتحقق من حالة الإلغاء.
قال باحث أمن البرمجيات الثابتة HD Moore لـ Ars Technica إن النتيجة تمثل انتقادا لنموذج Secure Boot، مشيرا إلى دور Microsoft كجذر الثقة الفعلي لمنصة UEFI وعدد المكونات الموقعة التي لا تزال قادرة على تشغيل كود آخر. ولم تفصح Microsoft كيف أو لماذا ظلت وحدات shim المعيبة الـ 11 موثوقة قبل إلغاء يونيو.

















