هکرها از حفره ویندوز برای بارگیری درایورهای مخرب سوء استفاده می کنند

در یک توصیه امنیتی که این هفته منتشر شد، غول ردموند به جزئیات یک مشکل اساسی می‌پردازد که در آن کمتر از 133 درایور که به طور رسمی توسط مهندسانش امضا شده بودند، اخیراً توسط عوامل مخرب برای توزیع بدافزار استفاده شده‌اند، که به نظر می‌رسد یک مشکل تکراری است. کمپین مورد بحث عمدتاً کاربران چینی زبان ویندوز را هدف قرار داده است، اما با توجه به روش استفاده شده، دلیل خوبی برای این باور وجود دارد که از آن برای هدف قرار دادن کاربران در سراسر جهان استفاده شده است.

خبر خوب این است که مایکروسافت درایورهای متخلف و همچنین حساب های توسعه دهندگانی که آنها را نوشته اند مسدود کرده است. اگر از Microsoft Defender (که قبلاً Windows Defender نامیده می شد) استفاده می کنید و آن را به روز دارید، یک اسکن آفلاین ساده تشخیص می دهد که آیا درایورهای مخرب در سیستم شما وجود دارد یا خیر. آخرین به‌روزرسانی‌های Patch Tuesday شامل فهرستی باطل می‌شود که از بارگیری آن درایورها توسط ویندوز جلوگیری می‌کند.

با این حال، این رویکرد مسدود کردن درایورهای مخرب پس از گزارش شدن توسط محققان امنیتی ایده‌آل نیست زیرا هکرها معمولاً سال‌ها قبل از مسدود شدن کد آنها از انجام این کار دوری می‌کنند و مایکروسافت کاری برای بستن حفره‌ای که باعث ایجاد این موارد شده است انجام نمی‌دهد. سوء استفاده ها در وهله اول ممکن است. مسلماً، یکی از بزرگترین نقاط فروش ویندوز، سازگاری با نرم افزارهای قدیمی تر است، بنابراین غول ردموند برای یافتن راه حل بهتر کار آسانی نخواهد داشت.

بخونید:  Cloud glitch causes 3D printers to start on their own, spooking owners
خط مشی ای که همه اینها را ممکن می کند به این معناست که با اجازه دادن به آنها برای بارگیری درایورهای قدیمی در ویندوز 10 و ویندوز 11 بدون نیاز به بررسی آنها توسط مایکروسافت برای پیامدهای ایمنی، سازگاری با نرم افزارهای قدیمی تر را فراهم می کند. در مورد ابزارهای منبع باز درگیر در این اکسپلویت، آنها در میان توسعه دهندگان تقلب بازی که می خواهند نرم افزار خود را در فضای هسته یا دزدان دریایی دیجیتالی که به دنبال دور زدن بررسی های DRM در برنامه ها و بازی های محبوب هستند، بسیار محبوب هستند.

چرا مهم است: هکرها سال‌هاست که از درایورهای آسیب‌پذیر سوء استفاده می‌کنند و مایکروسافت نمی‌تواند به راحتی مشکل اساسی را بدون خشم برخی از مشتریان پولی خود که از نرم‌افزارهای قدیمی‌تر استفاده می‌کنند، برطرف کند. در چند سال گذشته، یک حفره خط‌مشی ویندوز به عوامل مخرب اجازه می‌داد تا درایورهای به اصطلاح حالت کرنل با امضای متقاطع را امضا کرده و بارگذاری کنند و بدافزار را در میلیون‌ها رایانه شخصی ویندوز توزیع کنند. رانندگان متخلف مسدود شده اند، اما این سیاست بدون تغییر باقی مانده است.

اعتبار سرصفحه: ناهل عبدالهادی



منبع

همانطور که توسط تیم امنیتی Talos سیسکو توضیح داده شد، هکرها یک حفره سیاست ویندوز را پیدا کردند که به آنها اجازه می داد درایورهای امضا شده قبل از 29 ژوئیه 2015 را بارگیری کنند. با استفاده از ابزارهای منبع باز مانند HookSignTool و FuckCertVerifyTimeValidity، آنها سپس قادر به کامپایل درایورهای جدید و امضای آنها شدند. با استفاده از گواهی امضای کد از رانندگان قدیمی. در نتیجه، آنها توانستند درایورهای مخرب را روی تقریباً هر سیستمی نصب و بارگذاری کنند.

بخونید:  شبکه مستقر در چین تلاش کرد تا میان ترم ها را تحت تاثیر قرار دهد، اما ناهار طولانی و 9 تا 5 ساعت تلاش ها را با مشکل مواجه کرد.

اگر بهداشت دیجیتال را به خوبی رعایت کنید، احتمالاً به‌روزرسانی‌های ویندوز را بلافاصله پس از تاریخ انتشار آن‌ها نصب می‌کنید، مخصوصاً زمانی که روی امنیت متمرکز هستند. با این حال، هکرها دائماً امنیت سیستم عامل مایکروسافت را تحت فشار قرار می دهند و راه های جدیدی برای دور زدن هر یک از محدودیت های موجود ابداع می کنند.