נחשפה פרצת אבטחה חמורה במנגנון ההגנה של המחשב

נחשפה פרצת אבטחה חמורה במנגנון ההגנה של המחשב (UEFI Secure Boot). את הפרצה גילו חוקרי ESET.

הפגיעות אותה שגילו חוקרי חברת אבטחת המידע משפיעה על מערכות רבות המבוססות על UEFI, והיא מאפשרת לעקוף את מנגנון ה-UEFI Secure Boot. פגיעות זו – שסווגה CVE-2024-7344 – נמצאה ביישום UEFI, החתום על ידי תעודת צד שלישי Microsoft Corporation UEFI CA 2011 של מיקרוסופט. ניצול הפגיעות מאפשר הרצת קוד שאינו מהימן, בזמן האתחול של המערכת, דבר המקל על תוקפים לפרוס בקלות קיטים זדוניים (Bootkits) של UEFI, כמו Bootkitty או BlackLotus גם במערכות שבהן מנגנון ה-UEFI Secure Boot פעיל – בלא קשר למערכת ההפעלה המותקנת.

ESET researchers have discovered and reported a critical vulnerability that allows potential attackers to bypass UEFI Secure Boot and deploy malicious bootkits like #Bootkitty or #BlackLotus. Learn more from, #ESET @TonyAtESET and read the full blog post for detailed insights. pic.twitter.com/lsgWDTDFab

— ESET (@ESET) January 16, 2025

ESET דיווחה על הממצאים למרכז התיאום של CERT (ה-CERT/CC) ביוני 2024, שהצליח ליצור קשר עם היצרנים המושפעים מהחולשה. זו תוקנה כעת במוצריהם, והקבצים הפגיעים הישנים הוסרו בתהליך עדכון Patch Tuesday של מיקרוסופט ב-14 בינואר השנה.

היישום הפגיע הוא חלק ממספר חבילות תוכנה לשחזור מערכות בזמן אמת, שפותחו על ידי כמה חברות.

"מספר הפגיעויות שהתגלו ב-UEFI בשנים האחרונות, יחד עם הכישלון בתיקונן, או בביטול קבצים פגיעים בתוך פרק זמן סביר – מראה שאפילו תכונה חשובה, כמו UEFI Secure Boot, אינה מהווה מחסום בלתי עביר", אמר מרטין סמולר, חוקר ESET שגילה את הפגיעות. "עם זאת, מה שמדאיג אותנו במיוחד במקרה הזה, אינו משך הזמן שנדרש לתקן ולנטרל את הקובץ הפגיע. מדובר בזמן קצר יחסית בהשוואה למקרים דומים. מה שמדאיגה הוא העובדה שזו לא הפעם הראשונה שמתגלים קבצי UEFI חתומים, שאינם בטוחים בצורה כה ברורה. מצב זה מעלה שאלות לגבי היקף השימוש בטכניקות לא בטוחות שכאלו בקרב ספקי תוכנה צד שלישי של UEFI, וכמה מטעני אתחול (Bootloaders) אחרים דומים, אך חתומים, עשויים להיות קיימים".

ניצול הפגיעות אינו מוגבל למערכות שבהן מותקנת תוכנת שחזור הפגיעה, כיוון שהתוקפים עלולים להביא עותק משלהם של הקובץ הפגיע לכל מערכת UEFI שבה משולבת תעודת ה-UEFI של מיקרוסופט עבור צד שלישי.

החוקרים סיימו את הדו"ח בציינם כי "ניתן לצמצם את הסיכון הנובע מהפגיעות, באמצעות יישום ביטולי ה-UEFI העדכניים ביותר של מיקרוסופט. מערכות Windows אמורות להתעדכן באופן אוטומטי".