کمیته رکن چهارم – شرکت سوپرمایکرو (Super Micro Computer, Inc) با انتشار توصیهنامهای، نسبت به آسیبپذیر بودن برخی مادربردهای خود به بدافزار TrickBoot هشدار دادند.
در اواسط آذر ماه، اعلام شد که نویسندگان TrickBot ماژول جدیدی به این بدافزار اضافه کردهاند که آن را قادر به تشخیص آسیبپذیر بودن ثابتافزار Unified Extensible Firmware Interface – به اختصار UEFI – و سوءاستفاده از آن میکند. این ماژول TrickBot به TrickBoot معروف شد.
کدهای مخربی که در ثابتافزار (Firmware) ذخیره میشوند به بوتکیت (Bootkit) معروف هستند. این نوع بدافزارها با دسترسی به ثابتافزار UEFI، نه تنها در صورت تغییر سیستم عامل ماندگار میمانند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور آنها نخواهد داشت.
از آنجا که بدافزارهای بوتکیت قبل از همه چیز از جمله سیستم عامل اجرا میشوند عملاً از دید محصولات امنیتی همچون ضدویروس مخفی میمانند. همچنین این نوع بدافزارها بر روی پروسه راهاندازی سیستم عامل کنترل کامل داشته و میتوانند سیستمهای دفاعی را در بالاترین سطح ناکارامد کنند. ضمن آنکه راهاندازی بوتکیت در اولین مرحله بالا آمدن دستگاه، سازوکار Secure Boot را هم که وابسته به یکپارچگی (Integrity) ثابتافزار است بیاثر میکند.
TrickBoot در نقش یک ابزار شناسایی (Reconnaissance) عمل کرده و آسیبپذیر بودن ثابتافزار UEFI ماشین آلوده را بررسی میکند.
در آن زمان اعلام شد که تنها بسترهای ساخت شرکت Intel شامل Skylake، Kaby Lake، Coffee Lake و Comet Lake در فهرست اهداف آن قرار دارند.
هرچند در نمونههای بررسی شده در آن دوران، ماژول مذکور تنها به تشخیص آسیبپذیر بودن UEFI بسنده میکرد اما این احتمال نیز از سوی آنها مطرح شده بود که دامنه فعالیت آن بر روی اهداف باارزشتر ممکن است گستردهتر و مخربتر باشد.
TrickBoot با استفاده از فایل RwDrv.sys فعال بودن Write Protection در UEFI/BIOS را بررسی میکند. RwDrv.sys راهانداز RWEverything – برگرفته از عبارت Read Write Everything – است. RWEverything ابزاری رایگان جهت دسترسی به اجزای سختافزاری نظیر حافظه Serial Peripheral Interface – به اختصار SPI – که بخشی از دادههای ثابتافزار UEFI/BIOS بر روی آن نگهداری میشود است.
اگر چه سیستمهای مدرن امروزی مجهز به Write Protection در ثابتافزار UEFI/BIOS خود هستند اما اغلب یا غیرفعالند یا بهطور نادرست پیکربندی شدهاند.
اکنون شرکت سوپرمایکرو اعلام کرده که مدل Denlow مادربردهای X۱۰ UP این شرکت نیز در برابر TrickBoot آسیبپذیر هستند.
سوپرمایکرو این آسیبپذیری را در BIOS ۳,۴ ترمیم و اصلاح کرده است. اما در عین حال این نسخه تنها برای مادربرد X۱۰SLH-F بهصورت عمومی منتشر شده و صاحبان سایر مادربردهای آسیبپذیر باید برای دریافت نسخه مذکور با سوپرمایکرو تماس بگیرند.
منبع : مرکز مدیریت راهبردی افتا
