آسیب‌پذیری‌های UEFI Shell می‌توانند به هکرها اجازه دهند Secure Boot را در بیش از ۲۰۰٬۰۰۰ لپ‌تاپ دور بزنند

هکرها می‌توانند از آسیب‌پذیری‌های موجود در UEFI Shellهای امضا‌شده سوء‌استفاده کنند تا حفاظت Secure Boot را در بیش از ۲۰۰٬۰۰۰ لپ‌تاپ و دسکتاپ Framework دور بزنند.

طبق گزارش شرکت Eclypsium، این نقص‌ها ضعف‌های بنیادی در نحوه اعتماد سیستم‌های مدرن به اجزای بوت را آشکار می‌کنند؛ مسیری که می‌تواند به آلودگی‌های پایدار بدافزاری منجر شود که از دید ابزارهای امنیتی پنهان می‌مانند.

مشکل از ابزارهای عیب‌یابی مشروعی ناشی می‌شود که با وجود امضای دیجیتال توسط نهادهای معتبر مانند Microsoft، فرمان‌هایی در خود دارند که توانایی از بین بردن لایه‌های اصلی امنیت را دارند.

در شرایطی که حملات پیش از بارگذاری سیستم‌عامل (Pre-OS Attacks) رو به افزایش‌اند، مشابه تهدیدهایی چون BlackLotus و Bootkitty، این کشف نشان می‌دهد خطر واقعی در لایه Firmware نهفته است، جایی که معمولاً کمتر به آن توجه می‌شود.

خطرات پنهان در UEFI Shellهای معتبر

UEFI Shell یک محیط خط فرمان پیش از بوت است که دسترسی مستقیم به سخت‌افزار را فراهم می‌کند؛ مشابه ترمینالی قدرتمند برای عیب‌یابی، به‌روزرسانی Firmware، پیکربندی تنظیمات یا تست درایورها. این ابزار پیش از بارگذاری سیستم‌عامل اجرا می‌شود و سطح دسترسی‌اش از Administrator هم فراتر است.

مشکل زمانی بروز می‌کند که این ابزارها وارد زنجیره اعتماد Secure Boot می‌شوند. در این سازوکار، Microsoft UEFI Certificate Authority ریشه اعتماد است و ابزارهای شخص ثالث را که توسط تولیدکنندگان (OEM) در Firmware گنجانده می‌شوند امضا می‌کند.

پس از امضا، این Shellها بدون بررسی اضافی در سیستم‌هایی که Secure Boot فعال دارند نیز اجرا می‌شوند و در نتیجه، راه را برای کدهای مخرب باز می‌گذارند.

تحلیل عمیق Eclypsium نشان داد که بسیاری از این Shellها دستور خطرناک “mm” را در خود دارند؛ دستوری که به کاربر اجازه می‌دهد هر آدرس حافظه‌ای از سیستم را بخواند یا بازنویسی کند، بدون محدودیت‌هایی مانند ASLR یا DEP که در محیط pre-OS وجود ندارند.

درحالی‌که این قابلیت برای عیب‌یابی مفید است، در دست هکرها به ابزاری خطرناک تبدیل می‌شود، زیرا می‌توان آن را در فایل‌های startup اسکریپت کرد تا حتی پس از ریبوت، بدون هشدار به سیستم‌عامل باقی بماند.

محققان Jesse Michael و Mickey Shkatov در نمایش DEF CON 30، مسیر ساده‌ای برای سوءاستفاده توضیح دادند: ابتدا آدرس حافظه پروتکل امنیتی بوت را شناسایی کرده، سپس با دستور “mm” اشاره‌گر آن را بازنویسی می‌کنند تا بررسی امضاها غیرفعال شود.

دستوری مانند:

mm 0x[target_address] 0x00000000 -w 8 -MEM

می‌تواند مکانیزم بررسی امضا را از کار بیندازد و اجازه دهد Bootkit یا Rootkitهای بدون امضا بارگذاری شوند، در حالی که Secure Boot همچنان فعال به نظر برسد.

تست‌ها روی دستگاه‌های Framework این آسیب‌پذیری را تأیید کردند. Eclypsium با استفاده از ابزارهایی مانند sbverify و اسکریپت‌های Python مبتنی بر کتابخانه pefile، فایل‌های EFI را برای یافتن دستور “mm” اسکن کرد و باینری‌های پرخطر را شناسایی نمود. اجرای خودکار در محیط QEMU نیز عملکرد واقعی را تأیید کرد.

این حمله صرفاً تئوری نیست؛ حتی در بازار زیرزمینی، از مؤلفه‌های امضاشده مایکروسافت برای تقلب در بازی‌ها استفاده می‌شود، و گروه‌های دولتی یا باج‌افزاری (مانند عوامل پشت HybridPetya) می‌توانند از همین روش برای جاسوسی یا خرابکاری بهره ببرند.

مدل‌های آسیب‌دیده

حدود ۲۰۰٬۰۰۰ دستگاه از مدل‌های Framework تحت‌تأثیر قرار دارند، از جمله سری‌های Intel Core نسل ۱۱ تا AMD Ryzen AI.

Framework با حذف دستورات خطرناک از Shellها و به‌روزرسانی فهرست‌های DBX revocation برای بلاک کردن نسخه‌های آسیب‌پذیر، اصلاحات را منتشر کرده است. کاربران می‌توانند با نصب BIOS جدید یا حذف کلیدهای Framework DB از منوی تنظیمات، فوراً سیستم خود را ایمن کنند.

حوادث مشابه مانند CVE-2022-34302 و CVE-2024-7344 نشان می‌دهند این مشکل ابعادی فراگیر دارد و برخی کارشناسان خواستار حذف کامل Shellها از زنجیره Secure Boot در مشخصات EDK2 شده‌اند.

اقدامات دفاعی شامل به‌روزرسانی منظم DBX، تنظیم رمز عبور BIOS، استفاده از کلیدهای سفارشی و اسکن Firmware است.
به گفته Eclypsium، اعتماد کورکورانه به امضای دیجیتال، ما را نسبت به خطرات زنجیره تأمین نابینا کرده است.

با افزایش حملات Firmware، سازمان‌ها باید این سطح «زیر سیستم‌عامل» را در اولویت امنیتی خود قرار دهند. دوران اعتماد مطلق به کد امضاشده به پایان رسیده؛ اکنون، اعتبارسنجی مستقل حیاتی است.