UEFI هو اختصار لواجهة البرامج الثابتة القابلة للتوسيع الموحدة. وهي تقنية شائعة الاستخدام في أجهزة الكمبيوتر الحديثة. ومع ذلك، بمجرد حدوث ثغرة أمنية في هذه التقنية الأساسية، فهي أيضًا سيئة للغاية، لأنه ليس من السهل اكتشاف أو إزالة الأبواب الخلفية المزروعة من خلال UEFI. اكتشف الباحثون مؤخرًا تسع نقاط ضعف في البرامج الثابتة UEFI لخمسة موفري خدمات. ويطلق الباحثون على نقاط الضعف هذه بشكل جماعي اسم PixieFail. حتى المستخدمين ذوي الأذونات المنخفضة يمكنهم استغلال نقاط الضعف لشن الهجمات.
سيتمكن المتسلل الناجح من تثبيت البرامج الثابتة الضارة التي من شأنها تشغيل البرامج الضارة قبل تشغيل نظام التشغيل، ولكن هذه الثغرة الأمنية تؤثر بشكل أساسي على المؤسسات ومراكز البيانات.
تمهيد PXE المستند إلى IPv6:
PXE هي طريقة تستخدمها المؤسسات لتشغيل عدد كبير من الأجهزة. لا يقوم PXE بتخزين نظام التشغيل على الجهاز. وبدلاً من ذلك، يتم تخزين صورة النظام على خادم التمهيد. يتصل الجهاز الطرفي بخادم التمهيد من خلال PXE لبدء نظام التشغيل.
تم تصميم PXE خصيصًا لسهولة الاستخدام والاتساق وضمان الجودة في مراكز البيانات والبيئات السحابية. يمكن لمسؤولي تكنولوجيا المعلومات استخدامه لتحديث أنظمة التشغيل وتكوينها وبدء تشغيلها.
الثغرة الأمنية التي ظهرت هذه المرة موجودة في PXE. عندما يتم تكوين اتصال IPv6 لبدء تشغيل الخادم، يمكن للمهاجم استخدام الثغرة الأمنية لتنزيل صورة برنامج ثابت ضار بدلاً من صورة البرنامج الثابت التي تم تكوينها بواسطة مسؤول تكنولوجيا المعلومات.
بمجرد زرعها في UEFI، يمكن أن تصبح البرامج الضارة مستمرة لأن برامج الأمان التقليدية قد لا تكتشف إصابة UEFI، أو قد لا تتمكن من إزالتها بعد اكتشافها.
يقول الباحثون:
لا يحتاج المهاجم إلى الوصول الفعلي إلى الجهاز الطرفي وخادم التمهيد. يحتاج المهاجم فقط إلى أن يكون قادرًا على الوصول إلى الشبكة التي تعمل فيها هذه الأنظمة والتعاون مع الأدوات لالتقاط حزم البيانات، ثم حقنها ونقلها.
يمكن تشغيل بعض هذه الثغرات الأمنية عن طريق مهاجم يرسل حزمًا ضارة إلى العميل في استجابة الطلب عند تشغيل الجهاز النهائي.
تعطيل PXE وIPv6:
أسهل طريقة لمنع هذه الثغرة الأمنية هي تعطيل بدء تشغيل PXE وIPv6 مباشرة. معظم المستخدمين المنزليين لا يستخدمون PXE بشكل أساسي، لذا يمكن تعطيلهم مباشرة.
بالإضافة إلى ذلك، تؤثر هذه الثغرة الأمنية فقط على خوادم التمهيد المتصلة عبر IPv6. إذا كانت مؤسسة أو مركز بيانات يستخدم اتصالات IPv4، فلن يتأثر.
إصلاح الخلل:
حاليًا، يقوم موفرو البرامج الثابتة لـ UEFI بإنتاج إصدارات جديدة من البرامج الثابتة على التوالي وتوزيعها على العملاء. على سبيل المثال، أكدت AMI أن الثغرة الأمنية تؤثر على البرامج الثابتة لسلسلة OptioV وأنتجت حاليًا إصدارًا جديدًا من البرامج الثابتة ووزعتها على العملاء.
لا يزال موفرو البرامج الثابتة الآخرون يقومون بتحديث برامجهم الثابتة. ومن بين موفري البرامج الثابتة المتأثرين: ArmLtd.، وInsyde، وAMI، وPhoenix Technologies، وMicrosoft.
رد مايكروسوفت:
وقالت مايكروسوفت إن الشركة تتخذ الإجراءات المناسبة، لكنها لم تكشف عن المحتوى المحدد للإجراءات. وفي الوقت نفسه، ذكرت مايكروسوفت أيضًا بشكل غير صحيح أن المهاجم سيحتاج أيضًا إلى إنشاء خادم ضار في الشبكة الداخلية للشركة، لكن الباحثين قالوا إن ذلك ليس مطلوبًا.
وأخيرًا، توصي Microsoft أيضًا بأنه إذا كنت لا تستخدم PXE أو البروتوكولات الأخرى، فيجب عليك تعطيلها. إذا كنت تريد استخدامها، فيجب عليك أيضًا تكوين بروتوكول تشفير TLS، والذي يمكن أن يمنع المهاجمين من تنفيذ عمليات اختطاف في المنتصف.