كشفت ثغرة في تطبيقات UEFI القديمة الموقعة من مايكروسوفت عن احتمال تجاوز الإقلاع الآمن وتشغيل برمجيات خبيثة قبل تحميل النظام.
ما هي ثغرة UEFI الجديدة ولماذا تثير القلق؟
اكتشف باحثون في الأمن السيبراني 11 تطبيقاً قديماً من نوع shim ما تزال موثوقة على عدد كبير من الأجهزة، رغم أنها تحتوي على نقاط ضعف خطيرة. المشكلة هنا لا ترتبط بتوزيعة لينكس بعينها، بل بأي جهاز يعتمد على شهادة مايكروسوفت القديمة الخاصة بمكونات UEFI الخارجية.
خطورة الثغرة تكمن في أن المهاجم قد يستغل أحد هذه الملفات الموقعة لتشغيل كود غير موثوق أثناء الإقلاع. وهذا يعني عملياً فتح الباب أمام برمجيات منخفضة المستوى يصعب رصدها أو إزالتها بعد إصابة الجهاز.
كيف يمكن استغلال shim في تجاوز الإقلاع الآمن؟
يعمل shim كطبقة وسيطة بين برنامج UEFI الثابت ومحمل الإقلاع في لينكس، وعادة يكون هدفه السماح بتشغيل النظام مع تفعيل Secure Boot. لكن عندما تكون النسخة قديمة وما تزال موقعة وموثوقة، يصبح بالإمكان تحويل هذه الثقة إلى نقطة دخول خطيرة.
آلية الهجوم باختصار
- يقوم UEFI بتحميل ملف shim والتحقق من توقيعه.
- إذا كان الملف قديماً وضعيفاً لكنه ما يزال موثوقاً، يمكن استغلاله أثناء الإقلاع.
- بعد ذلك قد يتم تشغيل كود عشوائي قبل بدء نظام التشغيل.
- النتيجة قد تشمل تثبيت bootkits خفية أو أدوات تخريب متقدمة.
وفقاً لقراءة تيكبامين، فإن هذا السيناريو أخطر من الهجمات التقليدية لأنه يحدث قبل تهيئة النظام نفسه، ما يمنح المهاجم مستوى عميقاً من التحكم بالجهاز.
ما الأجهزة والأنظمة المتأثرة بهذه المشكلة؟
التأثير يشمل الأجهزة التي تثق بشهادة "Microsoft Corporation UEFI CA 2011"، وهي شهادة استخدمت لسنوات لتوقيع مكونات إقلاع الطرف الثالث. لذلك قد يظهر الخطر على أجهزة تعمل بلينكس أو حتى على أنظمة أخرى إذا كانت بنية الثقة نفسها موجودة داخل العتاد.
- الأجهزة المعتمدة على معيار UEFI الحديث.
- الأنظمة التي ما تزال تثق بشهادة مايكروسوفت القديمة.
- التوزيعات التي استخدمت إصدارات shim القديمة، خصوصاً 0.9 وما قبلها.
- البيئات التي لم تطبق تحديثات إبطال الثقة الأخيرة.
الأهم أن مايكروسوفت أنهت صلاحية الشهادة القديمة في 27 يونيو 2026، واستبدلتها بشهادات أحدث، ما يعكس اتجاهاً واضحاً لتضييق هذا النوع من المخاطر.
ماذا فعلت مايكروسوفت لحل المشكلة؟
تم إبطال عدد من محملات الإقلاع القديمة ضمن تحديثات يونيو 2026، بعد الإبلاغ المسؤول عن الثغرة في فبراير. هذه الخطوة تمنع الأنظمة المحدثة من الثقة التلقائية ببعض الإصدارات المعرضة للاستغلال.
لماذا لا يكفي التحديث وحده أحياناً؟
بعض البيئات المؤسسية أو الأجهزة التي لا تتلقى تحديثات firmware بانتظام قد تبقى معرضة للخطر. كما أن تقنيات مثل BYOVD تمنح المهاجمين طرقاً إضافية لاستغلال ملفات أو مكونات شرعية ظاهرياً للوصول إلى مرحلة الإقلاع المبكر.
كيف تحمي جهازك من تجاوز الإقلاع الآمن؟
ينصح الخبراء بالتأكد من تثبيت أحدث تحديثات UEFI وSecure Boot، ومراجعة إصدارات shim ومحملات الإقلاع المستخدمة داخل الجهاز. كما يجب التحقق من تطبيق قوائم الحظر الحديثة وعدم الاعتماد على مفاتيح أو شهادات قديمة داخل بيئة الإقلاع.
- تحديث النظام والبرامج الثابتة فوراً.
- مراجعة إعدادات Secure Boot داخل BIOS أو UEFI.
- التحقق من إبطال ملفات shim القديمة.
- تقليل تحميل التعريفات أو المكونات غير الموثوقة أثناء الإقلاع.
في النهاية، يوضح هذا التطور أن تجاوز الإقلاع الآمن لم يعد سيناريو نظرياً فقط، بل تهديداً عملياً يتطلب تحديثات سريعة ومراجعة دقيقة لسلسلة الثقة، وهو ما تتابعه تيكبامين عن قرب في ملفات الأمن الرقمي.