كشفت فرق متخصصة في أمن الأنظمة الحاسوبية عن ثغرة أمنية خطيرة تعرف باسم “Sleeping Bouncer”، تؤثر على لوحات الأم من شركات عريقة مثل جيجابايت، إم إس آي، أس روك، وأسوس. تم اكتشاف هذه الثغرة من قبل محللي شركة Riot Games خلال تحقيقاتهم المستمرة في أمن أنظمة الألعاب.
تستغل الثغرة، التي عُرفت باسم “Sleeping Bouncer”، نقطة ضعف في آليات الحماية قبل الإقلاع (pre-boot protection) المصممة لتأمين مكونات الحاسوب في المراحل الأولى لبدء التشغيل.
تسمح هذه الثغرة للمهاجمين بحقن تعليمات برمجية خبيثة في اللحظات الأولى لدورة بدء تشغيل النظام، قبل أن تتمكن برامج الأمان التقليدية من العمل.
على الرغم من أن ميزات الأمان قد تبدو مفعلة في إعدادات BIOS، إلا أن التنفيذ الفعلي لهذه الميزات على مستوى الأجهزة يفشل في تفعيل آليات الحماية بشكل صحيح.
يخلق هذا الوضع نافذة زمنية قصيرة لكنها قابلة للاستغلال، حيث يمكن للبرامج الضارة السيطرة على النظام قبل تفعيل برامج الحماية الأساسية.
تتراوح الأنظمة المتأثرة من أجهزة الألعاب الاستهلاكية إلى محطات العمل المتطورة، مما يجعل تأثير هذه الثغرة واسع النطاق عبر مجتمع مستخدمي الحواسيب.
ثغرة Sleeping Bouncer الأمنية تؤثر على لوحات الأم
لفهم كيفية عمل هذه الثغرة، من الضروري معرفة آلية بدء تشغيل أجهزة الحاسوب. عند تشغيل الجهاز، يعمل على أعلى مستوى صلاحيات، مما يمنحه وصولاً كاملاً إلى جميع مكونات النظام.
يقوم النظام بتحميل برنامجه الثابت (firmware)، والذي بدوره يبدأ سلسلة من إجراءات بدء التشغيل للأجهزة والبرامج. فقط بعد هذه العملية المعقدة، ينتقل التحكم إلى نظام التشغيل.
لاحظ محللو Riot Games أن المكونات التي يتم تحميلها في وقت مبكر من هذه التسلسل تمتلك صلاحيات أكبر، ويمكنها التلاعب بالمكونات التي يتم تحميلها لاحقًا.
يتم تحميل أنظمة التشغيل في نهاية هذه العملية تقريبًا، مما يعني أن البرامج الضارة يمكن أن يتم تحميلها أولاً، وتكتسب صلاحيات مرتفعة، وتخفي نفسها قبل أن يتمكن نظام التشغيل من الدفاع ضدها.
تستهدف الثغرة بشكل خاص وظيفة IOMMU (Input/Output Memory Management Unit)، وهي ميزة أمنية حيوية تعمل كـ “حارس” يتحكم في الوصول إلى ذاكرة النظام.
آلية عمل ثغرة Sleeping Bouncer
تتمحور ثغرة Sleeping Bouncer حول الحماية قبل الإقلاع للوصول المباشر للذاكرة (Pre-boot DMA Protection)، وهي ميزة أمان في BIOS تمنع الأجهزة غير المصرح بها من الوصول إلى ذاكرة النظام خلال المراحل المبكرة من الإقلاع.
بطاقات DMA هي أجهزة تسمح بالوصول المباشر إلى الذاكرة، متجاوزة كلاً من المعالج (CPU) ونظام التشغيل ويندوز.
تقوم ميزة IOMMU بتحديد الأجهزة التي يُسمح لها بالوصول إلى الذاكرة، وتعمل أشبه بحارس أمن يتحقق من الهوية.
ومع ذلك، أشارت شركات تصنيع البرامج الثابتة إلى أن هذه الحماية كانت مفعلة بالكامل، في حين أنها كانت تفشل في تهيئة بشكل صحيح.
تظل نافذة استغلال الثغرة قصيرة، لكنها فعالة بشكل مدمر. فبينما بدا أن Hماية الوصول المباشر للذاكرة قبل الإقلاع مفعلة في BIOS، فشلت IOMMU في التهيئة الكاملة خلال الثواني الأولى من الإقلاع.
بدا حارس أمن النظام الذي يفترض أن يحمي الدخول، غائبًا أو نائمًا. بحلول الوقت الذي تم فيه تحميل النظام بالكامل، لم يكن بالإمكان التأكد تماماً من عدم حقن أي تعليمات تخرق سلامة النظام عبر هجمات DMA.
يحتاج برنامج غش متطور يعتمد على الأجهزة لهذه الفرصة الضئيلة للتسلل، وحقن الشفرة، والتخفي قبل تفعيل أنظمة الأمان مثل Vanguard.
تحديثات ومعالجة الثغرة
أصدر مصنعو الأجهزة تحديثات BIOS شاملة لمعالجة هذه الثغرة الحرجة. وأصدرت شركات Asus، Gigabyte، MSI، و ASRock بالفعل إشعارات أمنية مع أرقام CVE المقابلة.
يُنصح المستخدمون المتأثرون بتحديث برنامج اللوحة الأم الثابت (firmware) فورًا من خلال زيارة المواقع الرسمية للشركات المصنعة.
ستفرض Vanguard فحوصات أساسية أمنية أكثر صرامة، مما يحد من الوصول إلى اللعب التنافسي على الأنظمة ذات اللوحات الأم غير المحدثة أو الميزات الأمنية المعطلة.
يجب على المستخدمين الذين يتلقون إشعارات VAN:Restriction تحديث برنامجهم الثابت قبل متابعة اللعب.
يمثل الاكتشاف الناجح لهذه الثغرة ومعالجتها إنجازاً هاماً لصناعة الألعاب بأكملها، حيث كان من الممكن أن تجعل الثغرات غير المكتشفة جميع تقنيات كشف DMA الحالية في السوق غير فعالة.