آسیب‌پذیری برخی تجهیزات سوپرمایکرو به TrickBoot

کمیته رکن چهارم – شرکت سوپرمایکرو (Super Micro Computer, Inc) با انتشار توصیه‌نامه‌ای، نسبت به آسیب‌پذیر بودن برخی مادربردهای خود به بدافزار TrickBoot هشدار دادند.

در اواسط آذر ماه، اعلام شد که نویسندگان TrickBot ماژول جدیدی به این بدافزار اضافه کرده‌اند که آن را قادر به تشخیص آسیب‌پذیر بودن ثابت‌افزار Unified Extensible Firmware Interface – به اختصار UEFI – و سوءاستفاده از آن می‌کند. این ماژول TrickBot به TrickBoot معروف شد.

کدهای مخربی که در ثابت‌افزار (Firmware) ذخیره می‌شوند به بوت‌کیت (Bootkit) معروف هستند. این نوع بدافزارها با دسترسی به ثابت‌افزار UEFI، نه تنها در صورت تغییر سیستم عامل ماندگار می‌مانند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور آنها نخواهد داشت.

از آنجا که بدافزارهای بوت‌کیت قبل از همه چیز از جمله سیستم عامل اجرا می‌شوند عملاً از دید محصولات امنیتی همچون ضدویروس مخفی می‌مانند. همچنین این نوع بدافزارها بر روی پروسه راه‌اندازی سیستم عامل کنترل کامل داشته و می‌توانند سیستم‌های دفاعی را در بالاترین سطح ناکارامد کنند. ضمن آنکه راه‌اندازی بوت‌کیت در اولین مرحله بالا آمدن دستگاه، سازوکار Secure Boot را هم که وابسته به یکپارچگی (Integrity) ثابت‌افزار است بی‌اثر می‌کند.

TrickBoot در نقش یک ابزار شناسایی (Reconnaissance) عمل کرده و آسیب‌پذیر بودن ثابت‌افزار UEFI ماشین آلوده را بررسی می‌کند.
در آن زمان اعلام شد که تنها بسترهای ساخت شرکت Intel شامل Skylake، Kaby Lake، Coffee Lake و Comet Lake در فهرست اهداف آن قرار دارند.

هرچند در نمونه‌های بررسی شده در آن دوران، ماژول مذکور تنها به تشخیص آسیب‌پذیر بودن UEFI بسنده می‌کرد اما این احتمال نیز از سوی آنها مطرح شده بود که دامنه فعالیت آن بر روی اهداف باارزش‌تر ممکن است گسترده‌تر و مخرب‌تر باشد.

TrickBoot با استفاده از فایل RwDrv.sys فعال بودن Write Protection در UEFI/BIOS را بررسی می‌کند. RwDrv.sys راه‌انداز RWEverything – برگرفته از عبارت Read Write Everything – است. RWEverything ابزاری رایگان جهت دسترسی به اجزای سخت‌افزاری نظیر حافظه Serial Peripheral Interface – به اختصار SPI – که بخشی از داده‌های ثابت‌افزار UEFI/BIOS بر روی آن نگهداری می‌شود است.

اگر چه سیستم‌های مدرن امروزی مجهز به Write Protection در ثابت‌افزار UEFI/BIOS خود هستند اما اغلب یا غیرفعالند یا به‌طور نادرست پیکربندی شده‌اند.

اکنون شرکت سوپرمایکرو اعلام کرده که مدل Denlow مادربردهای X۱۰ UP این شرکت نیز در برابر TrickBoot آسیب‌پذیر هستند.

سوپرمایکرو این آسیب‌پذیری را در BIOS ۳,۴ ترمیم و اصلاح کرده است. اما در عین حال این نسخه تنها برای مادربرد X۱۰SLH-F به‌صورت عمومی منتشر شده و صاحبان سایر مادربردهای آسیب‌پذیر باید برای دریافت نسخه مذکور با سوپرمایکرو تماس بگیرند.

منبع : مرکز مدیریت راهبردی افتا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.