آسیب‌پذیری‌های متعددی در بیش از ۴۰ درایور ویندوز یافت شده است

اخبار ، سخت‌افزار ، ویندوز ۲۳ مرداد ۱۳۹۸ - ۰۹:۳۳

پژوهشگران موسسه امنیت سایبری اکلیپسیم (Eclypsium) فاش کردند که بیش از چهل درایور گوناگون از ۲۰ فروشنده سخت‌افزار دارای گواهینامه مایکروسافت، حاوی کدهای ضعیفی هستند که ممکن است برای اجرای حمله افزایش حق دسترسی مورد سوء استفاده قرار بگیرد.

در کنفرانس امسال DEF در لاس وگاس، اکلیپسیوم فهرستی از فروشندگاه عمده BIOS و تولیدکنندگان سخت‌افزار ارائه داد که مورد حمله قرار گرفتند. این فهرست شامل ایسوس (ASUS)، هواوی (Huawei)، اینتل (Intel)، انویدیا (NVIDIA) و توشیبا (Toshiba) بود.

دریوارها همه نسخه‌های ویندوز را تحت تاثیر قرار می‌­دهند؛ به این معنا که میلیون­‌ها نفر در خطر هستند. درایورها به طور بالاقوه می‌توانند به برنامه‌های مخرب اجازه دهند که حق دسترسی‌های مرکزی را در سطح کاربر بدست آورند و درنتیجه به سیستم عامل و سخت‌افزار دسترسی مستقیم داشته باشند.

ممکن است بدافزار به طور مستقیم در سیستم عامل نصب شود، بنابراین حتی نصب دوباره سیستم عامل چاره اصلی کار نخواهد بود.

تمامی این آسیب‌پذیری‌ها به درایور امکان می‌دهد تا به عنوان یک پراکسی عمل کند تا از طریق منابع سخت‌افزاری مانند خواندن و نوشتن دسترسی به پردازنده و چیپست فضای I/O، رجیستری ویژه مدل (MSR)، رجیسترهای کنترل (CR)، رجیستر اشکال‌زدایی (DR)، حافظه فیزیکی و هسته حافظه مجازی، مجوز دسترسی بالایی ارائه کند. این افزایش حق دسترسی است که می‌تواند یک مهاجم را از حالت کاربر (حلقه ۳) به حالت هسته (حلقه ۰) جابه‌جا کند. مفهوم حلقه‌های حفاظتی در تصویر بالا خلاصه شده است که در آن هر حلقه درونی حق دسترسی بیش‌تری بدست می‌آورد. باید توجه داشته باشید که حتی مدیران (Administrator) در حلقه ۳ و در کنار سایر کاربران فعالیت دارند (و نه عمیق‌تر). دسترسی به هسته درونی نه تنها به مهاجم امکان بیش‌ترین دسترسی به سفت‌افزار (Firmware) را می‌دهد، بلکه می‌تواند اجازه دسترسی به رابط‌های سخت‌افزاری و سفت‌افزاری مانند یک سفت‌افزار BIOS را با بالاترین میزان دسترسی را فراهم کند.

اگر در حال حاضر در سیستم یک درایور آسیب‌پذیر وجود داشته باشد، یک برنامه مخرب تنها نیاز دارد آن درایور را جستجو کند تا حق دسترسی خود را بالا ببرد. اگر درایور وجود نداشته باشد، برنامه مخرب می‌تواند درایور را با خود همراه کند اما برای نصب نیازمند تایید مدیر است.

درایور نه تنها حق دسترسی‌های مورد نیاز را ارائه می‌دهد بلکه مکانیزم ایجاد تغییرات را نیز با خود دارد.

در بیانیه‌ای از طرف ZDNet، مایکی شاکتوف، پژوهشگر ارشد در اکلیپسیم اشاره کرد:

مایکروسافت از گنجایش HVCI خود (یکپارچی کد با نظارت هایپروایزر) استفاده خواهد کرد تا درایورهایی که به آن‌ها گزارش شده‌اند را در فهرست مسدودسازی قرار دهد.

این ویژگی تنها در پردازنده‌های نسل هفتم و جدیدتر اینتل در دسترس قرار دارد؛ بنابراین برای پردازنده‌های مرکزی قدیمی‌تر یا جدیدتری که HCVI در آن‌ها غیرفعال شده، نیاز است که درایورها به صورت دستی غیرفعال شوند.

مایکروسافت در ادامه بیان کرد:

    برای سوءاستفاده از درایورهای آسیب پذیر، یک مهاجم نیاز به از بین بردن رایانه دارد.

مهاجمی که سیستم را در سطح حق امتیاز حلقه ۳ به خطر بی‌اندازد، می‌تواند به هسته دسترسی پیدا کند. مایکروسافت این توصیه را بیان کرده است که:

از برنامه ویندوز دیفندر برای مسدود ساختن درایورها و نرم‌افزارهای آسیب‌پذیر استفاده کنید.

سپس مشتری‌ها می توانند با فعال ساختن یکپارچگی حافظه در بخش امنیت ویندوز برای دستگاه‌های مجهز از خود محافظت کنند.

فهرست کامل همه فروشندگانی که در حال حاضر درایورهای خود را به‌روزرسانی کرده‌اند اینجا بیان شده است:

ASRock

ASUSTeK Computer

(ATI Technologies (AMD

Biostar

EVGA

Getac

GIGABYTE

Huawei

Insyde

Intel

(Micro-Star International (MSI

NVIDIA

Phoenix Technologies

Realtek Semiconductor

SuperMicro

Toshiba

12345678910 (هیچ امتیازی ثبت نشده)
Loading...

نظرات

دیدگاهتان را بنویسید