این حفره امنیتی بزرگ ویندوز به هکرهای بدافزار اجازه ورود می دهد – در اینجا چیزی است که باید بدانید

هکرهای چینی با استفاده از دو ابزار منبع باز برای امضا و بارگذاری درایورهای حالت هسته مخرب در نقاط پایانی در معرض خطر شناسایی شده اند.

به گفته محققان امنیت سایبری از Cisco Talos که این کمپین را مشاهده کردند، این به مهاجمان بالاترین سطح امتیاز ممکن را می‌دهد. آنها در تحلیل خود گفتند: “این یک تهدید بزرگ است، زیرا دسترسی به هسته دسترسی کامل به یک سیستم و در نتیجه سازش کامل را فراهم می کند.”

دو ابزار منبع باز مورد بحث HookSignalTool و FuckCertVerifyTimeValidity نام دارند. این دو تقریباً پنج سال است که وجود دارند و برای دانلود در GitHub در دسترس هستند. وظیفه اصلی آنها این بود که به متقلبان بازی اجازه دهند بازی ها را اصلاح کنند و مزیت های ناعادلانه به دست آورند.

اما در این مثال، هکرهای چینی از آن در سیستم‌هایی که قبلاً نقض شده بودند استفاده کردند تا تاریخ امضای درایورهای مخرب را قبل از 29 جولای 2015 تغییر دهند. با تغییر تاریخ، می‌توانند از درایورهای قدیمی‌تر و مخرب استفاده کنند، آنها را در سیستم عامل بارگذاری کنند و در نتیجه سیستم را به دست آورند. قابلیت های مدیریت

سپس محققان یک نمونه واقعی را به نمایش گذاشتند. آنها از HookSignTool برای بارگذاری یک درایور مخرب به نام “RedDriver” استفاده کردند که به آنها کمک کرد ترافیک مرورگرهای محبوب ترین مرورگرهای جهان – کروم، اج و فایرفاکس را رهگیری کنند. آنها همچنین توانستند ترافیکی را که از طریق مرورگرهای رایج در چین انجام می شود، رهگیری کنند.

محققان گفتند: “FuckCertVerifyTimeValidity به روشی مشابه HookSignTool عمل می کند، زیرا از بسته Detours مایکروسافت برای اتصال به تماس API “CertVerifyTimeValidity” استفاده می کند و مهر زمانی را روی تاریخ انتخابی تنظیم می کند. برخلاف HookSignTool، FuckCertVerifyTimeValidity مصنوعات را در باینری که امضا می‌کند باقی نمی‌گذارد و تشخیص زمان استفاده از این ابزار را بسیار دشوار می‌کند.

تحلیل: چرا مهم است؟

همه آسیب پذیری ها یکسان نیستند. سوء استفاده از برخی سخت تر است، در حالی که برخی دیگر دارای بهره برداری های کاری در طبیعت هستند. آسیب‌پذیری‌هایی مانند این، که دارای یک اکسپلویت فعال هستند که می‌توانند به راحتی آن را حتی توسط هکرهای کم‌ماهر شناسایی و استفاده کنند، بسیار خطرناک هستند. این نقص با دانستن اینکه توسط هکرهای چینی کشف شده است حتی خطرناک تر است. این بازیگران تهدید، به ویژه اگر تحت حمایت دولت باشند، همیشه به دنبال راه های جدید هستند و اهداف آنها معمولاً جاسوسی سایبری، داده ها و دزدی هویتو اختلال در سیستم های زیرساختی حیاتی. کارشناسان امنیت سایبری با شناسایی و مسدود کردن این راه‌ها، وضعیت کلی امنیت سایبری سازمان‌های بزرگ در کشورهای خود را تا حد زیادی بهبود می‌بخشند.

در این مورد خاص، کلاهبرداران سایبری از تکنیکی استفاده می کنند که به عنوان راننده آسیب پذیر خود را بیاورید (BYOVD). این یک تکنیک محبوب با یک فرض ساده است: یک درایور قدیمی با یک آسیب پذیری شناخته شده را در یک سیستم نصب کنید و سپس از آن آسیب پذیری برای دستیابی به دسترسی، افزایش امتیازات و در نهایت نصب بدافزار استفاده کنید.

برای دفاع در برابر این تهدید، محققان سیسکو تالو توصیه می کنند تمام گواهینامه های ذکر شده را مسدود کنید اینجا، زیرا تیم های فناوری اطلاعات برای شناسایی درایورهای مخرب خود به مشکل بر می خورند. علاوه بر این، این موارد به طور موثر بر اساس هش فایل یا گواهی هایی که برای امضای آنها استفاده می شود، مسدود می شوند. محققان همچنین گفتند که مایکروسافت تمامی گواهی‌های فوق را مسدود کرده است و کاربران می‌توانند برای اطلاعات بیشتر به مشاوره مایکروسافت مراجعه کنند.

آنها گفتند: “مایکروسافت یک لیست بلاک درایورها را در ویندوز پیاده سازی و نگهداری می کند، اگرچه روی درایورهای آسیب پذیر به جای درایورهای مخرب متمرکز شده است.” “به این ترتیب، این لیست بلاک نباید تنها برای مسدود کردن روت کیت ها یا درایورهای مخرب باشد.”

دیگران در مورد این حملات چه گفته اند؟

در نگارش آن، Ars Technica مایکروسافت را به طور آزمایشی مورد انتقاد قرار داد و گفت که همچنان به مشکل درایورهای مخرب مورد استفاده در سناریوهای پس از اکسپلویت به عنوان یک بازی ضرب و شتم برخورد می کند. در این بیانیه آمده است: «رویکرد این است که درایورهایی را مسدود کنیم که به طور مخرب مورد استفاده قرار می‌گیرند، اما هیچ کاری برای بستن این شکاف انجام نمی‌شود. این به مهاجمان اجازه می دهد تا به سادگی از یک دسته جدید از درایورها برای انجام همان کار استفاده کنند. همانطور که در گذشته و بارها نشان داده شده است، مایکروسافت اغلب در شناسایی درایورهایی که سال ها به طور مخرب استفاده شده اند، شکست می خورد.

با این حال، همان مقاله تأکید می‌کند که یافتن راه‌حل کار سختی است، زیرا بسیاری از رانندگان آسیب‌پذیر هنوز – به طور قانونی – توسط بسیاری از مشتریان پرداخت‌کننده استفاده می‌شوند. لغو چنین درایورهایی می تواند باعث شود که نرم افزارهای مهم در سراسر جهان به طور ناگهانی از کار بیفتند.

به گفته این نشریه، خط نقره ای این است که برای اینکه نقص کار کند، سیستم باید از قبل مورد بهره برداری قرار گیرد، بنابراین بهترین دفاع این است که در وهله اول به خطر نیفتید.

Bleeping Computerاز سوی دیگر، با مایکروسافت تماس گرفت و به او گفته شد که این نقص باعث دریافت CVE نمی شود زیرا شرکت این را به عنوان یک آسیب پذیری نمی بیند. این نشریه می‌گوید: «در حالی که گواهی‌های کشف‌شده توسط سیسکو و سوفوس اکنون باطل شده‌اند، خطر از بین رفتن آن دور است، زیرا گواهی‌های بیشتر احتمالاً در معرض یا سرقت باقی می‌مانند و به عوامل تهدید اجازه می‌دهد به سوء استفاده از این شکاف سیاست ویندوز ادامه دهند.» یادآوری می‌کند که Sophos بیش از صد درایور هسته مخرب را پیدا کرده است که به‌عنوان «قاتل EDR» برای خاموش کردن نرم‌افزار امنیتی استفاده می‌شوند.

عمیق تر برو

اگر می خواهید بیشتر بدانید، با خواندن ادامه مطلب شروع کنید آخرین حرکات مایکروسافت برای جلوگیری از وقوع چنین حملاتی در وهله اول. پس از آن، مطمئن شوید که لیست ما را بررسی کنید بهترین برنامه های آنتی ویروس در اطراف، و همچنین بهترین حذف بدافزار برنامه ها. در نهایت، شما باید راهنمای عمیق ما را در مورد مطالعه بخوانید بهترین فایروال های امروزی.