این حملات به علت اشتباهات تولید کنندگان رایانه در پیادهسازی UEFI ممکن میگردد. كدی كه مكانیزم راهاندازی امن ویندوز 8 را دور میزند به گفته یک گروه از محققان امنیتی، مکانیزم راهاندازی امن در ویندوز 8 در رایانههای برخی از تولید کنندگان میتواند دور زده شود، چراکه اشتباهاتی در نحوه پیادهسازی UEFI در این تولید کنندگان وجود دارد. كدی كه مكانیزم راهاندازی امن ویندوز 8 را دور میزند خیلی ساده نیست.
سه محقق امنیتی روز چهارشنبه در کنفرانس Black Hat در لاس وگاس، دو حمله را به نمایش گذاشتند که برای نصب یک بوتکیت بر روی سیستمهای تحت تأثیر، راهاندازی امن را دور میزند.
كدی كه مكانیزم راهاندازی امن ویندوز 8 را دور میزند
راهاندازی امن یک ویژگی UEFI است که صرفاً به آن دسته از اجزای نرمافزار که دارای امضاهای دیجیتالی مورد اعتماد هستند اجازه میدهد که در طول بازه زمانی راهاندازی بارگذاری گردند. این ویژگی به طور خاص برای جلوگیری از سوء استفاده بدافزارهایی مانند بوتکیتها از فرآیند راهاندازی طراحی شده است.
به گفته این محققان، این سوء استفاده نه به علت آسیبپذیریهای راهاندازی امن، بلکه به دلیل خطاهای پیادهسازی توسط تولید کنندگان پلتفورم ممکن میگردد.
به گفته یکی از این محققین که در مکآفی کار میکند، نخستین کد سوء استفاده کننده به این علت کار میکند که تولید کنندگان به طور مناسب از سفتافزار خود محافظت نکرده و به مهاجم اجازه میدهند کد مسئول راهاندازی امن را تغییر دهند.
این کد سوء استفاده کننده طوری طراحی شده است که کلید پلتفورم را تغییر دهد (کلید اصلی در هسته بررسی کننده تمامی امضاهای راهاندازی امن)، ولی برای اینکه این کد کار کند باید در مود هسته (kernel) یعنی بیشترین حق دسترسی سیستم عامل اجرا گردد.
شرکت ایسوس
این مسأله به نحوی حمله را محدود میکند، چراکه مهاجم راه دور باید ابتدا راهی برای اجرای کد در مود هسته در سیستم هدف بیابد.
این محققان کد سوء استفاده کننده مود هسته خود را بر روی یک لپتاپ Asus VivoBook Q200E نمایش دادند، ولی برخی مادربردهای رایانههای دسکتاپ ایسوس نیز تحت تأثیر این مشکل قرار دارند.
به گفته یکی از این محققین. ایسوس بهروز رسانیهایی برای برخی مادربردهای خود ارائه داده است. که لپتاپ VivoBook را شامل نمیشود. و ممکن است مدلهای VivoBook آسیبپذیر باشند.
ایسوس در این مورد توضیحی نداده است.
کد سوء استفاده کننده. دوم که توسط این محققین نمایش داده شد. میتواند در مود کاربر اجرا گردد. این بدان معناست که کافی است. مهاجم با سوء استفاده از یک آسیبپذیری در برنامه معمولی. مانند جاوا، ادوب فلش، مایکروسافت آفیس .و یا برنامههای دیگر، به حق اجرای کد دست یابد.
این محققان از افشای جزئیات فنی این کد. سوء استفاده یا معرفی تولید کنندگانی که محصولات آنها آسیبپذیر است. خودداری کردند، چرا که آسیبپذیری هدف اخیراً کشف شده است.
به گفته یکی از این محققین. مسأله کد سوء استفاده مود هسته. بیش از یک سال قبل کشف شده. و به اطلاع تولید کنندگان رسانده شده است. و پس از گذشت این مدت زمان. اطلاع رسانی عمومی آن لازم است.
