پژوهشگران موسسه امنیت سایبری اکلیپسیم (Eclypsium) فاش کردند که بیش از چهل درایور گوناگون از ۲۰ فروشنده سختافزار دارای گواهینامه مایکروسافت، حاوی کدهای ضعیفی هستند که ممکن است برای اجرای حمله افزایش حق دسترسی مورد سوء استفاده قرار بگیرد.
در کنفرانس امسال DEF در لاس وگاس، اکلیپسیوم فهرستی از فروشندگاه عمده BIOS و تولیدکنندگان سختافزار ارائه داد که مورد حمله قرار گرفتند. این فهرست شامل ایسوس (ASUS)، هواوی (Huawei)، اینتل (Intel)، انویدیا (NVIDIA) و توشیبا (Toshiba) بود.
دریوارها همه نسخههای ویندوز را تحت تاثیر قرار میدهند؛ به این معنا که میلیونها نفر در خطر هستند. درایورها به طور بالاقوه میتوانند به برنامههای مخرب اجازه دهند که حق دسترسیهای مرکزی را در سطح کاربر بدست آورند و درنتیجه به سیستم عامل و سختافزار دسترسی مستقیم داشته باشند.
ممکن است بدافزار به طور مستقیم در سیستم عامل نصب شود، بنابراین حتی نصب دوباره سیستم عامل چاره اصلی کار نخواهد بود.
تمامی این آسیبپذیریها به درایور امکان میدهد تا به عنوان یک پراکسی عمل کند تا از طریق منابع سختافزاری مانند خواندن و نوشتن دسترسی به پردازنده و چیپست فضای I/O، رجیستری ویژه مدل (MSR)، رجیسترهای کنترل (CR)، رجیستر اشکالزدایی (DR)، حافظه فیزیکی و هسته حافظه مجازی، مجوز دسترسی بالایی ارائه کند. این افزایش حق دسترسی است که میتواند یک مهاجم را از حالت کاربر (حلقه ۳) به حالت هسته (حلقه ۰) جابهجا کند. مفهوم حلقههای حفاظتی در تصویر بالا خلاصه شده است که در آن هر حلقه درونی حق دسترسی بیشتری بدست میآورد. باید توجه داشته باشید که حتی مدیران (Administrator) در حلقه ۳ و در کنار سایر کاربران فعالیت دارند (و نه عمیقتر). دسترسی به هسته درونی نه تنها به مهاجم امکان بیشترین دسترسی به سفتافزار (Firmware) را میدهد، بلکه میتواند اجازه دسترسی به رابطهای سختافزاری و سفتافزاری مانند یک سفتافزار BIOS را با بالاترین میزان دسترسی را فراهم کند.
اگر در حال حاضر در سیستم یک درایور آسیبپذیر وجود داشته باشد، یک برنامه مخرب تنها نیاز دارد آن درایور را جستجو کند تا حق دسترسی خود را بالا ببرد. اگر درایور وجود نداشته باشد، برنامه مخرب میتواند درایور را با خود همراه کند اما برای نصب نیازمند تایید مدیر است.
درایور نه تنها حق دسترسیهای مورد نیاز را ارائه میدهد بلکه مکانیزم ایجاد تغییرات را نیز با خود دارد.
در بیانیهای از طرف ZDNet، مایکی شاکتوف، پژوهشگر ارشد در اکلیپسیم اشاره کرد:
مایکروسافت از گنجایش HVCI خود (یکپارچی کد با نظارت هایپروایزر) استفاده خواهد کرد تا درایورهایی که به آنها گزارش شدهاند را در فهرست مسدودسازی قرار دهد.
این ویژگی تنها در پردازندههای نسل هفتم و جدیدتر اینتل در دسترس قرار دارد؛ بنابراین برای پردازندههای مرکزی قدیمیتر یا جدیدتری که HCVI در آنها غیرفعال شده، نیاز است که درایورها به صورت دستی غیرفعال شوند.
مایکروسافت در ادامه بیان کرد:
برای سوءاستفاده از درایورهای آسیب پذیر، یک مهاجم نیاز به از بین بردن رایانه دارد.
مهاجمی که سیستم را در سطح حق امتیاز حلقه ۳ به خطر بیاندازد، میتواند به هسته دسترسی پیدا کند. مایکروسافت این توصیه را بیان کرده است که:
از برنامه ویندوز دیفندر برای مسدود ساختن درایورها و نرمافزارهای آسیبپذیر استفاده کنید.
سپس مشتریها می توانند با فعال ساختن یکپارچگی حافظه در بخش امنیت ویندوز برای دستگاههای مجهز از خود محافظت کنند.
فهرست کامل همه فروشندگانی که در حال حاضر درایورهای خود را بهروزرسانی کردهاند اینجا بیان شده است:
ASRock
ASUSTeK Computer
(ATI Technologies (AMD
Biostar
EVGA
Getac
GIGABYTE
Huawei
Insyde
Intel
(Micro-Star International (MSI
NVIDIA
Phoenix Technologies
Realtek Semiconductor
SuperMicro
Toshiba
نظرات