انقضای کلیدهای Secure Boot در ۳ تیر؛ خطر بوت‌کیت‌های UEFI

در این تاریخ، سه گواهی رمزنگاری مایکروسافت که ستون‌های اصلی زنجیره اعتماد در فرآیند راه‌اندازی (Boot) سیستم‌عامل هستند، منقضی خواهند شد. این انقضا، سیستم‌های به‌روزرسانی‌نشده را در برابر بدافزارهای موذی پنهان در سفت‌افزار (Firmware) بی‌دفاع می‌کند؛ ابزارهای مخربی که پیش از لود شدن سیستم‌عامل و آنتی‌ویروس‌ها اجرا می‌شوند.

ریشه بحران؛ بوت‌کیت‌های UEFI و لایه اول دفاعی سیستم

برای درک اهمیت این رویداد، باید به معماری راه‌اندازی کامپیوتر نگاه کرد. قابلیت Secure Boot یک استاندارد صنعتی است که توسط مایکروسافت و سازندگان سخت‌افزار توسعه یافته تا تضمین کند تمام کدهای اجرایی در لحظه روشن شدن کامپیوتر، دارای امضای دیجیتال معتبر از سوی سازنده اصلی هستند. اگر حتی یک لینک در این زنجیره شناسایی نشود، سیستم از بالا آمدن خودداری می‌کند.

هدف اصلی  Secure Boot، مقابله با بوت‌کیت‌های UEFI است. این بدافزارها جانشین BIOS قدیمی سیستم می‌شوند و از آنجا که قبل از لایه نرم‌افزاری ویندوز یا لینوکس اجرا می‌گردند، عملاً توسط آنتی‌ویروس‌ها غیرقابل شناسایی هستند. خطر بزرگ بوت‌کیت‌ها در این است که حتی با تعویض کامل سیستم‌عامل یا فرمت هارد نیز از بین نمی‌روند و روی حافظه فلش مادربرد باقی می‌مانند. تاریخچه این حملات از نمونه‌های آزمایشگاهی در دهه ۲۰۰۰ به بدافزارهای دولتی و خطرناکی نظیر LoJax ساخته گروه روسی Fancy Bear در سال ۲۰۱۸، MosaicRegressor (کشف شده توسط کسپرسکی در ۲۰۲۰) و نمونه‌های جدیدتری مثل MoonBounce  تکامل یافته است.

آسیب‌پذیری LogoFail؛ عاملی که تعویض کلیدها را اجباری کرد

دلیل اصلی اینکه مایکروسافت ناچار شده کلیدهای رمزنگاری قدیمی خود را بازنشانی کند، کشف یک نقص امنیتی ساختاری به نام LogoFail در سال ۲۰۲۳ بود. پژوهشگران دریافتند که یک باگ در بخش پردازش تصویر مادربردها — همان قسمتی که لوگوی شرکت سازنده (مانند ایسوس، اچ‌پی یا لنوو) را در ثانیه‌های اول روشن شدن کامپیوتر نشان می‌دهد — به مهاجمان اجازه می‌دهد با تزریق یک فایل تصویری آلوده، قابلیت Secure Boot را به طور کامل دور بزنند.

در پاسخ به این تهدید، مایکروسافت تصمیم گرفت سه کلید قدیمی صادرشده در سال ۲۰۱۱ را به طور کامل ابطال و حذف کند و کلیدهای مدرن پایه‌گذاری شده در سال ۲۰۲۳ را جایگزین آن‌ها سازد. این فرآیند جایگزینی، علاوه بر ویندوز ۱۰ و ۱۱، توزیع‌های مختلف لینوکس را نیز درگیر کرده است؛ زیرا لینوکس برای هماهنگی با کلیدهای مایکروسافت از یک مفسر واسط کوچک به نام Shim استفاده می‌کند که آن هم باید فوراً به‌روزرسانی شود.

پیامد عدم به‌روزرسانی و گام‌های عملی برای کاربران

رایانه‌هایی که تا تاریخ ۲۴ ژوئن موفق به دریافت کلیدهای جدید نشوند، همچنان به کار عادی خود ادامه خواهند داد و خاموش یا قفل نمی‌شوند؛ اما سیستم Secure Boot آن‌ها دیگر توانایی مقابله با تهدیدات مدرن، به‌ویژه بدافزارهای بهره‌برداری‌کننده از نقص LogoFail را نخواهد داشت. به بیانی ساده، این سیستم‌ها در برابر خطرات سفت‌افزاری آینده بی‌دفاع می‌مانند.

برای کاربران ویندوز، فرآیند به‌روزرسانی معمولاً به طور خودکار از طریق وصله‌های ماهانه ویندوز آپدیت (Windows Update) انجام می‌شود. کاربران می‌توانند برای بررسی وضعیت دستگاه خود به مسیر تنظیمات امنیتی ویندوز  (Windows Security)، بخش امنیت دستگاه (Device Security) و سپس زیرمجموعه Secure Boot مراجعه کنند؛ وجود یک تیک سبز رنگ به معنای اعمال موفقیت‌آمیز کلیدهای جدید است. با این حال، در سیستم‌های قدیمی‌تر یا لینوکسی، کاربران باید آپدیت‌های سفت‌افزاری (Firmware/BIOS) ارائه شده از سوی شرکت سازنده مادربرد را به صورت دستی دریافت و نصب کنند تا پایداری و امنیت زنجیره بوت دستگاه حفظ شود.

تحلیل ۲۴ نیوز: زلزله زیرساختی در زنجیره تأمین

انقضای این گواهی‌ها فراتر از یک آپدیت دوره‌ای ساده، یک تکان شدید در امنیت سخت‌افزاری است. این رویداد به وضوح نشان می‌دهد چطور یک آسیب‌پذیری مانند LogoFail در زنجیره تامین  Supply Chain، می‌تواند معماری امنیتی یک دهه گذشته سیلیکون‌ولی را به چالش بکشد.

از منظر مدیریت بحران، چالش اصلی سیستم‌های سازمانی به‌روز نیستند، بلکه میلیون‌ها تجهیزات صنعتی، دستگاه‌های میراثی (Legacy) و سرورهای لینوکسی هستند که آپدیت خودکار ندارند یا به دلیل هراس مدیران شبکه از ناپایداری سیستم هنگام ارتقای بایوس (BIOS)، سال‌ها رها می‌شوند. غفلت از به‌روزرسانی پروتکل‌های زنجیره بوت، راه‌های نفوذی را باز می‌گذارد که حتی پیشرفته‌ترین آنتی‌ویروس‌های نسل جدید نیز قادر به ردیابی آن‌ها نیستند؛ فضایی خاکستری در لایه‌های سخت‌افزار که مهاجمان سایبری هوشمند، به خوبی ارزش پنهان شدن در آن را درک کرده‌اند.

بخش تحلیل اختصاصی رسانه ۲۴ نیوز | بهراد یوسفی