الساعة هي يجب على مستخدمي Windows وLinux تحديث مفاتيح التشفير التي تحمي أنظمتهم من إصابات UEFI المستندة إلى البرامج الثابتة، وهو شكل خبيث من البرامج الضارة التي يتم تحميلها قبل بدء نظام التشغيل والحماية من البرامج الضارة.
بدءًا من 24 يونيو، ستنتهي ثلاث شهادات تتحقق بشكل مشفر من أن كل قطعة من البرامج الثابتة والبرامج التي يتم تحميلها أثناء تشغيل النظام ستنتهي صلاحيتها. تعد الشهادات الموقعة من Microsoft بمثابة العناصر الأساسية للتمهيد الآمن، وهي سلسلة ثقة مصممة من قبل Microsoft. يتحقق Secure Boot من التوقيعات الرقمية لجميع البرامج الثابتة التي يتم تحميلها أثناء بدء تشغيل النظام للتأكد من أنها صادرة عن موفر موثوق به، مثل الشركة المصنعة للوحة الأم التي يعمل عليها النظام.
تم تصميم Secure Boot لإحباط مجموعات تمهيد UEFI، وهي شكل من أشكال البرامج الضارة التي تعمل على تغيير واجهة البرامج الثابتة القابلة للتوسيع الموحدة، التي خلفت BIOS، وكلاهما يبدأ تسلسل التمهيد الأولي. نظرًا لأنه يتم تحميل مجموعات التمهيد هذه قبل نظام التشغيل ومعظم التعليمات البرمجية الأخرى، فقد يكون من الصعب اكتشافها. بمجرد التثبيت، تقوم عادةً بتحميل برامج ضارة على نظام التشغيل والتي تسرق بيانات الاعتماد، أو تفتح أبوابًا خلفية للنظام، أو تنفذ إجراءات ضارة أخرى. حتى عندما يتم تطهير نظام التشغيل، يمكن لمجموعة أدوات التشغيل إعادة إصابة النظام. تنجو مجموعات Bootkit من عمليات إعادة تثبيت نظام التشغيل أيضًا.
تاريخ موجز لمجموعات التمهيد
يعود نشأة مجموعات التمهيد إلى أوائل الثمانينيات من القرن الماضي، حيث تم إنشاء عدة أجزاء من البرامج الضارة التي استهدفت أجهزة Apple II أثناء عملية التمهيد. لقد انتشرت في البرية من خلال الأقراص المرنة التي تحتوي ظاهريًا على ألعاب مقرصنة.
اكتسبت مجموعات تمهيد Windows الاهتمام في أوائل العقد الأول من القرن الحادي والعشرين كدليل على المفهوم الذي طوره باحثون في مجال الأمن الهجومي. من المحتمل أن يكون BootRoot، وهو عبارة عن مجموعة أدوات تم عرضها في مؤتمر Black Hat الأمني لعام 2005، هو المثال الأول من نوعه. أصابت البرامج الضارة واجهة برنامج تشغيل الشبكة، مما أدى إلى تبسيط الاتصالات بين برامج تشغيل بروتوكول الشبكة، مما يتيح خدمة مثل برامج تشغيل محول الشبكة TCP/IP. في السنوات التالية، شملت إثباتات المفهوم (PoCs) المماثلة Vbootkit وStoned Bootkit وMebroot. كان هناك الكثير.
في عام 2012، تم عرض شكل جديد من أدوات التمهيد. بدلاً من استهداف الأجهزة من خلال BIOS أو سجل التمهيد الرئيسي، هاجم أحد أدوات التمهيد هذه أنظمة Mac OS X عن طريق إصابة EFI، وهي حزمة من البرامج الثابتة التي بدأت عملية التمهيد. استهدفت مجموعة تمهيد بدائية ثانية الأجهزة التي تعمل بنظام التشغيل Windows 8 عن طريق إصابة مجموعة تمهيد UEFI، وهي المجموعة السابقة لـ UEFI. في عام 2013 تقريبًا، أظهر أحد الباحثين مجموعة تمهيد أكثر تقدمًا لـ UEFI لنظام التشغيل Windows تسمى Dreamboat.
جاءت أول حالة معروفة لهجوم حقيقي يستهدف UEFI في عام 2018 مع اكتشاف برنامج ضار يطلق عليه اسم LoJax. نسخة معاد استخدامها من برنامج مكافحة السرقة الشرعي المعروف باسم LoJack، تم إنشاؤه من قبل مجموعة القرصنة المدعومة من الكرملين والتي يتم تتبعها تحت أسماء بما في ذلك Sednit وFancy Bear وAPT 28. تم تثبيت البرنامج الضار عن بعد باستخدام أدوات البرامج الضارة التي يمكنها قراءة أجزاء من ذاكرة فلاش البرنامج الثابت UEFI والكتابة فوقها.
في عام 2020، اكتشف الباحثون المثال الثاني المعروف للبرامج الضارة في العالم الحقيقي التي تهاجم UEFI. في كل مرة يتم فيها إعادة تشغيل جهاز مصاب، يتحقق نظام UEFI الخاص به من وجود ملف ضار في مجلد بدء تشغيل Windows، وإذا لم يكن كذلك، يتم تثبيته. أطلق باحثون من شركة Kaspersky، مزود الأمان الذي اكتشف البرنامج الضار، اسم “MosaicRegressor”. لم يحدد الباحثون بعد كيفية إصابة واجهات UEFI المخترقة. ومنذ ذلك الحين، ظهرت إلى النور مجموعة من مجموعات تمهيد UEFI الجديدة. ويتم تعقبهم تحت أسماء تشمل ESpecter وFinSpy وMoonBounce.
الحاجة أم الاختراع
استجابةً للتهديد الأكثر خطورة المتمثل في مجموعات تمهيد UEFI، عملت Microsoft مع صانعي الأجهزة لتطوير Secure Boot، وهو معيار على مستوى الصناعة يستخدم توقيعات التشفير لضمان أن كل قطعة من البرامج الثابتة التي يتم تحميلها أثناء بدء التشغيل موثوق بها من قبل الشركة المصنعة للكمبيوتر. تم تصميم Secure Boot لإنشاء سلسلة من الثقة تمنع المهاجمين من استبدال برامج التشغيل الثابتة المقصودة ببرامج ضارة. إذا لم يتم التعرف على رابط واحد في سلسلة بدء التشغيل، فإن التمهيد الآمن سيمنع الجهاز من بدء التشغيل.
ثم في عام 2023، اكتشف الباحثون LogoFail، وهي سلسلة من الثغرات الأمنية الخطيرة التي وجدت أن واجهات UEFI تقوم بتشغيل كل نظام Windows وLinux في العالم تقريبًا. سمح خطأ تحليل الصور في البرنامج الذي يقدم شعارات الشركات المصنعة للأجهزة أثناء التمهيد للمهاجمين بتجاوز Secure Boot وإصابة UEFI ببرامج ثابتة ضارة.
