در اوایل این هفته، مایکروسافت یک وصله برای رفع یک اشکال امنیتی جدید Secure Boot bypass که توسط بات کیت BlackLotus در ماه مارس گزارش شده بود منتشر کرد. با این حال، به نظر می رسد حداقل یک سال طول بکشد تا این مشکل به طور کامل حل شود.
گزارش کردن تکناکآسیب پذیری اصلی CVE-2022-21894، در ژانویه برطرف شد، اما یک پچ جدید برای CVE-2023-24932، به دلیل بهره برداری فعال به روشی دیگر، برای سیستم های دارای ویندوز 10 و 11 و نسخه های ویندوز سرور قدیمی تر از ویندوز سرور 2008 منتشر شده است.
BlackLotus Bootkit اولین بدافزار جهان است که می تواند حفاظت های Secure Boot را دور بزند و کدهای مخرب را قبل از شروع بارگذاری ویندوز و حفاظت های امنیتی آن اجرا کند. Secure Boot بیش از ده سال است که در اکثر رایانه های ویندوزی که توسط شرکت هایی مانند Dell، Lenovo، HP، Acer و غیره فروخته می شوند، به طور پیش فرض فعال شده است. رایانه های دارای ویندوز 11 باید آن را فعال کنند تا نیازهای سیستم نرم افزاری را برآورده کنند.
مایکروسافت میگوید این آسیبپذیری میتواند توسط مهاجمی با دسترسی فیزیکی به سیستم یا مدیریت سیستم مورد سوء استفاده قرار گیرد. این میتواند بر رایانههای فیزیکی و ماشینهای مجازی که Secure Boot فعال هستند تأثیر بگذارد.
ما به چند دلیل روی پچ جدید تاکید می کنیم، زیرا برخلاف بسیاری از وصله های ویندوز با اولویت بالا، حداقل تا چند ماه پس از نصب به روز رسانی، به طور پیش فرض غیرفعال می شود. این وصله به تغییراتی در مدیریت بوت ویندوز نیاز دارد که پس از فعال شدن قابل بازگرداندن نیست.
یکی از چندین مقاله پشتیبانی مایکروسافت در مورد بهروزرسانی میگوید: ویژگی Secure Boot دقیقاً نحوه استفاده از رسانه بوت را هنگام راهاندازی سیستم عامل کنترل میکند و اگر وصله به درستی فعال نشود، به طور بالقوه میتواند باعث خرابی و جلوگیری از بوت شدن شود. یک سیستم می شود.
علاوه بر این، پس از فعال شدن وصله های امنیتی، رایانه شما دیگر نمی تواند از رسانه بوت قدیمی استفاده کند. در فهرست طولانی رسانه هایی که تحت تأثیر آسیب رسانه نصب ویندوز قرار گرفته اند، مانند DVD و درایوهای USB ساخته شده از فایل های Microsoft ISO. تصاویر نصب سفارشی ویندوز که توسط بخش فناوری اطلاعات نگهداری می شود. پشتیبان گیری کامل سیستم؛ درایوهای بوت شبکه، از جمله آنهایی که توسط بخش فناوری اطلاعات برای عیبیابی ماشینها و نصب تصاویر جدید ویندوز استفاده میشوند. درایوها را با استفاده از Windows PE بوت کنید. و رسانه بازیابی که با رایانه های OEM فروخته می شود.
مایکروسافت نمی خواهد ناگهان سیستم هیچ کاربری را غیر قابل بوت کند، بنابراین این به روز رسانی را طی چند ماه آینده به صورت مرحله ای ارائه خواهد کرد. نسخه اولیه این پچ برای فعال سازی نیاز به همکاری کاربر دارد. ابتدا باید بهروزرسانیهای امنیتی ماه می را دریافت کنید، سپس از یک فرآیند پنج مرحلهای برای بهروزرسانی دستی و اعمال یک جفت «فایل لغو» استفاده کنید که بخش بوت EFI و رجیستری سیستم را پنهان میکند. شما را به روز می کند. این فایلها باعث میشوند که نسخههای قدیمی و آسیبپذیر بوتلودر توسط رایانهها غیرقابل اعتماد شوند.
یک بهروزرسانی ثانویه در ماه جولای منتشر میشود که بهطور پیشفرض پچ را فعال نمیکند، اما فعال کردن آن را آسانتر میکند. سومین بهروزرسانی در سه ماهه اول سال 2024، این وصله را بهطور پیشفرض فعال میکند و متوسط بوت قدیمی را در همه رایانههای ویندوزی وصلهشده منسوخ میکند. مایکروسافت می گوید به دنبال فرصت هایی برای تسریع این برنامه است، اما مشخص نیست که این شتاب شامل چه مراحلی می شود.
ژان یان بوتین، مدیر تحقیقات تهدید در ESET، در گزارش اولیه بلک لوتوس و سایر باتکیتها اهمیت و شدت آن را برای Ars شرح دادند.
او گفت که نتیجه نهایی این است که بوت کیت BlackLotus UEFI می تواند خود را روی سیستم های به روز با استفاده از آخرین نسخه ویندوز با فعال کردن Secure Boot نصب کند. اگرچه آسیبپذیری قدیمی است، اما همچنان میتوان از آن برای دور زدن تمام اقدامات امنیتی و به خطر انداختن فرآیند بوت سیستم استفاده کرد و به مهاجم اجازه میدهد مرحله راهاندازی اولیه سیستم را کنترل کند. همچنین، نشان میدهد که مهاجمان به جای استفاده از سیستم عامل برای پیادهسازی ابزارهای خود، بر روی ESP (پارتیشن سیستم EFI) تمرکز میکنند و برای سهولت استقرار، اما با قابلیتهای مشابه، از مخفیکاری صرف نظر میکنند.
این وصله تنها حادثه امنیتی اخیر نیست که مشکلات وصله آسیبپذیری Secure Boot و UEFI را برجسته کرده است. MSI اخیراً کلیدهای امضای دیجیتال خود را در یک حمله باجافزار به بیرون درز کرده است، و هیچ راه آسانی برای این شرکت وجود ندارد که به محصولات خود بگوید بهروزرسانیهای میانافزار امضا شده با کلید در معرض خطر اعتماد نکنند.
مقاله رفع اشکال امنیتی جدید مایکروسافت یک سال طول می کشد اولین بار در TechNock – اخبار دنیای فناوری پدیدار شد. ظاهر شد.
گفتگو در مورد این post