بحران انقضای گواهی Secure Boot؛ تهدیدی جدی برای اکوسیستم ویندوز

پایان عمر گواهی‌های قدیمی Secure Boot در ویندوز، یکی از بزرگ‌ترین عملیات‌های هماهنگ مدیریت امنیتی در اکوسیستم مایکروسافت است. از آنجا که این گواهی‌ها نقش root of trust سیستم را دارند، انقضای آنها می‌تواند سطح محافظت سیستم‌عامل را دچار اختلال جدی کند. مایکروسافت هشدار داده است دستگاه‌های ویندوزی تولیدشده پیش از 2024 باید فوراً با گواهی‌های جدید به‌روزرسانی شوند تا مکانیزم Secure Boot همچنان توانایی اعتبارسنجی زنجیره بوت را با حداکثر اطمینان داشته باشد.

نقش گواهی Secure Boot در مقابله با Bootkitهای پیشرفته

مکانیزم Secure Boot بیش از یک دهه پیش در معماری UEFI (اینترفیس فریم‌ور توسعه پذیر یکپارچه)، معرفی شد تا پیش از بارگذاری سیستم‌عامل، تمام کامپوننت‌های بوت از نظر امضای دیجیتال بررسی شوند. این مکانیزم تنها اجازه اجرای لودرهای معتبر، درایورهای حیاتی و سرویس‌های تأییدشده را در فرآیند بوت صادر می‌کند.

تهدیداتی مانند BlackLotus، MoonBounce و FinSpy پیش از آغاز فعالیت سیستم‌عامل کنترل کامل دستگاه را به دست می‌گیرند. Secure Boot با اجرای زودهنگام، مانع بارگذاری هرگونه کد مخرب یا پیلود تغییر یافته در مراحل اولیه بوت می‌شود.

Richard Hicks، کارشناس امنیتی، توضیح می‌دهد که این فرآیند امضاهای رمزنگاری‌شده بخش‌های بوت را با کلیدهای معتبر تطبیق می‌دهد و نرم‌افزارهای جعلی را در همان لحظه نخست مسدود می‌کند.

تفاوت گواهی‌های 2011 و 2023 و پیامدهای امنیتی آن 

تمام دستگاه‌های مجهز به Windows 10 و Windows 11 از امنیت Secure Boot پشتیبانی می‌کنند. سیستم‌هایی که در بازه 2011 تا 2023 ساخته شده‌اند با گواهی‌های قدیمی عرضه شده‌اند و بخش قابل‌توجهی از آنها طی پچ‌های خودکار، گواهی جدید 2023 را دریافت کرده‌اند.

در محیط‌های سازمانی، به‌روزرسانی‌ها مرحله‌ای و محدود انجام می‌شوند و همین مسئله باعث شده بسیاری از دستگاه‌ها همچنان تحت گواهی 2011 باقی بمانند. مایکروسافت اعلام کرده نسخه 2023 اگرچه ویژگی جدیدی اضافه نمی‌کند، اما root of trust را تقویت کرده و با امضاهای رمزنگاری قوی‌تر، عمر امنیتی طولانی‌تری فراهم می‌کند.

Nuno Costa از تیم Windows Service Delivery این به‌روزرسانی را یک «جهش نسلی» در امنیت بوت عنوان می‌کند.

پیامدهای انقضای گواهی‌های Secure Boot و توصیه‌های فوری

گواهی‌های 2011 از 24 ژوئن رسماً منقضی می‌شوند. سیستم‌ها حتی با گواهی منقضی‌شده نیز بوت خواهند شد اما:

·        به‌روزرسانی‌های امنیتی مرتبط با Secure Boot را دریافت نخواهند کرد.

·        به‌روزرسانی پایگاه داده‌های UEFI شامل DB و DBX با خطا مواجه می‌شود.

·        سطح اعتماد سخت‌افزاری کاهش یافته و مسیر حمله مهاجمان گسترده‌تر می‌شود.

Hicks هشدار می‌دهد که عدم به‌روزرسانی این گواهی‌ها می‌تواند endpointها را نسبت به تهدیدات آینده به‌شدت آسیب‌پذیر کند.

ابزارهای جدید ویندوز برای بررسی وضعیت گواهی بوت

مایکروسافت در جدیدترین نسخه ویندوز یک شاخص امنیتی جدید در بخش Device Security معرفی کرده است که وضعیت گواهی Secure Boot را به‌صورت شفاف نمایش می‌دهد. ماه آینده نیز قابلیت اعلان و راهنمای تکمیلی برای کاربران عرضه خواهد شد.

به گفته Hicks، پیش از این، کاربران مجبور بودند رجیستری را بررسی کنند یا با ابزار PowerShell اقدام به اعتبارسنجی نمایند، اما اکنون یک نشانه بصری ساده این فرآیند را برای کاربران و کسب‌وکارهای کوچک بسیار آسان کرده است.

وضعیت Windows 10 پس از پایان پشتیبانی رسمی 

با اینکه پشتیبانی اصلی از Windows 10 به پایان رسیده است اما دستگاه‌های عضو برنامه ESU همچنان قادر به دریافت به‌روزرسانی‌های گواهی جدید خواهند بود. در مقابل، دستگاه‌هایی که خارج از این برنامه قرار دارند، از دریافت گواهی 2023 محروم بوده و با انقضای گواهی 2011، قابلیت Secure Boot در این دستگاه‌ها به‌تدریج غیرفعال خواهد شد.

نقشه راه پیشنهادی مایکروسافت برای تیم‌های امنیتی و IT

مایکروسافت از مدیران امنیت و مدیران سیستم خواسته است فوراً اقدامات زیر را انجام دهند:

·        بررسی وضعیت تمامی دستگاه‌های سازمان

·        انجام ارزیابی دقیق از گواهی‌های Secure Boot

·        مطالعه دستورالعمل رسمی مایکروسافت به‌منظور آماده‌سازی برای انقضای گواهی 2011

·        اطمینان از تطابق نسخه فریم‌ور با الزامات OEM 

·        برنامه‌ریزی برای استقرار مرحله‌ای در محیط‌های حساس

منابع