اشتباه مایکروسافت چگونه میلیون‌ها رایانه شخصی را در معرض حملات بدافزاری قرار می‌دهد

مقامات مایکروسافت به‌مدت تقریباً دوسال، مشکلاتی را در یکی از سیستم‌های دفاعی کلیدی ویندوز ایجاد کرده‌اند که کاربران را درمعرض تکنیک‌های نفوذ بدافزارها قرار می‌دهد. این مورد به‌خصوص طی چندماه اخیر، به‌عنوان روشی مؤثر در گسترش بدافزارها روی رایانه‌های شخصی، نقش داشته است.

مدیران مایکروسافت با قاطعیت تأکید کرده‌اند که به‌روزرسانی ویندوز، داریورهای نرم‌افزاری جدید را به‌طور خودکار به فهرست بلاک اضافه می‌کند که این راهکار برای خنثی کردن یکی از ترفند‌های معروف پخش بدافزار طراحی شده است. تکنیک بدافزاری معروف به BYOVD، امکان دورزدن لایه‌های محافظت از هسته‌ی ویندوز را برای مهاجم فراهم می‌کند. هکرها به‌جای نوشتن یک اکسپلویت از ابتدا، به‌سادگی هریک از ده‌ها درایور شخص‌ثالث آسیب‌پذیر را نصب و سپس از آن‌ها برای دسترسی فوری به برخی از حساس‌ترین مناطق ویندوز، سواستفاده می‌کنند.

بااین‌حال، مشخص شد که ویندوز به‌روزرسانی‌ها را به‌درستی در فهرست بلاک درایورها دانلود و اعمال نکرده است و این مورد، کاربران را دربرابر حمله‌های جدید BYOVD آسیب‌پذیر می‌کند.

درایورها معمولاً به رایانه‌ها اجازه می‌دهند با چاپ‌گرها، دوربین‌ها یا سایر دستگاه‌های جانبی کار کنند یا کارهای دیگری مثل ارائه‌ی تجزیه‌وتحلیل درمورد عملکرد سخت‌افزار رایانه انجام دهند. بسیاری از درایورها برای کارکرد صحیح به دسترسی مستقیم به هسته نیاز دارد؛ هسته‌ی سیستم‌عاملی که حساس‌ترین کدها در آن قرار دارند. به‌همین‌دلیل، مایکروسافت تلاش زیادی برای افزایش امنیت هسته‌ی ویندوز انجام می‌دهد و از همه‌ی درایورها می‌خواهد که گواهی‌های موردنظر را به‌صورت دیجیتالی امضا کنند؛ این مورد تأیید می‌کند که درایورهای موردنظر بازرسی شده‌اند و منبع آن‌ها قابل‌اعتماد است.

به‌نوشته‌ Arstechnica، گاهی درایورهای قانونی، آسیب‌پذیری‌های مثل تخریب حافظه یا نقص‌های جدی دیگری دارند که هکرها می‌توانند با سواستفاده از آن‌ها، کدهای مخرب را به‌طور مستقیم به هسته‌ی سیستم‌عامل تزریق کنند. حتی پس‌از اصلاح آسیب‌پذیری‌های مذکور، درایورهای قدیمی و باگ آن‌ها، گزینه‌هایی ایدئال برای حمله‌های BYOVD محسوب می‌شوند، زیرا گواهی آن‌ها قبلاً امضا شده است و بنابراین همچنان به کدهای حساس ویندوز دسترسی دارند. هکرها می‌توانند با اضافه کردن این نوع درایورها به جریان اجرای حمله‌های بدافزاری، هفته‌ها در زمان توسعه و آزمایش روش‌های نفوذ خود، صرفه‌جویی کنند.

هکرها حداقل از یک‌دهه قبل از BYOVD استفاده می‌کنند. بدافزاری به‌نام Slingshot از سال ۲۰۱۲ از این آسیب‌پذیری بهره گرفته است. ازجمله بدافزارهای دیگری که از این باگ استفاده کرده‌اند می‌توان به InvisiMole، LoJax و RobinHood اشاره کرد.

طی دوسال گذشته شاهد حمله‌های جدیدی از نوع BYOVD بوده‌ایم که یکی از آن‌ها در اواخر سال گذشته و با حمایت گروه لازاروس انجام شد. شایا‌ن‌ذکر است این گروه تحت حمایت دولت کره‌ی شمالی قرار دارد. لازاروس از آسیب‌پذیری درایورهای ازکار افتاده، برای هدف قرار دادن یکی از کارمندان یک شرکت هوافضا در هلند و یک روزنامه‌نگار سیاسی در بلژیک استفاده کرده است.

مجرمان سایبری در حمله‌ای دیگر، از آسیب‌پذیری BYOVD برای نصب و سپس سواستفاده از یک درایور حاوی این باگ در Micro-Star's MSI AfterBurner 4.6.2.15658 استفاده کرده‌اند. این ابزار برای اورکلاک گرافیک‌های پرکاربرد مورداستفاده قرار می‌گیرد و هکرها از‌ آن برای نصب باج‌افزار BlackByet بهره گرفته‌اند.

یک گروه باج‌افزاری دیگر در ماه جولای، با نصب mhyprot2.sys، از یک درایور ضدتلقب منسوخ‌شده که بازی بسیار محبوب Genshin Impact از آن استفاده می‌کند، برای اجرای کد آلوده و نفوذ در ویندوز بهره گرفتند.

ماه گذشته نیز گروه دیگری از هکرهای مرتبط با باج‌افزار AvosLocker، از درایور آسیب‌پذیر آنتی‌روت‌کیت Avast aswarpot.sys برای دورزدن فرایند اسکن ویروس، سواستفاده کردند. در کل باید اشاره کنیم که تعداد حملات BYOVD روند رو به رشدی را دنبال می‌کند.

مایکروسافت به‌طور کامل از مشکلات BYOVD مطلع است و برای جلوگیری از این حمله‌ها روی سیستم دفاعی جدیدی کار می‌کند. این شرکت سعی دارد با ایجاد مکانیزم‌هایی، از بارگیری درایورهای امضاشده و آسیب‌پذیر ویندوز جلوگیری کند. رایج‌ترین راهکار برای مسدودسازی درایور، از ترکیب یک‌پارچگی حافظه و HVCI استفاده می‌کند که درواقع مخفف عبارت Hypervisor-Protected Code Integrity است. مکانیزم دیگری که برای جلوگیری از نوشتن درایورهای مخرب روی دیسک ارائه شده است با نام ASR یا Attack Surface Reduction شناخته می‌شود. متأسفانه به‌نظر می‌رسد هیچ‌یک از روش‌ها عملکرد خوبی ندارد.

مایکروسافت حداقل از مارس ۲۰۲۰، یعنی زمانی‌که پست جدیدی برای تبلیغ رایانه‌های شخصی Secured Core منتشر کرد، روش‌های حفاظتی جدید خود را به‌کاربران ارائه داده است؛ روش‌هایی که درآن، HVCI به‌طور مستقیم فعال شده است. این شرکت رایانه‌های شخصی Secured Core (و به‌طور کلی HVCI) را به‌عنوان نوش‌دارویی برای حمله‌های BYOVD معرفی کرد که از درایورهای آسیب‌پذیر سرچشمه می‌گیرد. این شرکت می‌گوید:

ما در تحقیقات خود بیش‌از ۵۰ فروشنده را شناسایی کرده‌ایم که بسیاری از درایورهای مخرب را منتشر کرده‌اند. ما فعالانه با این فروشندگان همکاری می‌کنیم و یک برنامه‌ی عملیاتی برای اصلاح درایورها تعیین خواهیم کرد. به‌منظور کمک بیشتر به مشتریان در شناسایی این درایورها و انجام اقدامات لازم، روش خودکاری ساختیم که می‌توان با استفاده از آن، درایورهای آسیب‌پذیر را مسدود ساخت و آن‌ها را ازطریق به‌روزرسانی ویندوز، آپدیت کرد. کاربران همچنین قادر خواهند بود فهرست بلاک درایورها را مدیریت کنند.

در ادامه‌ی پست مایکروسافت آمده است که تیم‌های تحقیقاتی این شرکت به‌طور مداوم روی اکوسیستم امنیتی نظارت دارند و درایورهایی را که در فهرست‌های بلاک‌ ارائه‌شده ازطرف آن قرار دارند، به‌روزرسانی می‌کنند. این فهرست، ازطریق آپدیت ویندوز به دستگاه‌ها منتقل می‌شود. دیوید وستون، معاون ارشد امنیت سازمانی و سیستم‌عامل مایکروسافت در توییتی اعلام کرد که کاربران با روشن کردن این محافظ‌ها از حمله‌های مدوام BYOVD درامان هستند. او اظهارداشت:

فروشندگان راهکارهای امنیتی به شما می‌گویند باید ابزارهای آن‌ها را خریداری کنید، اما ویندوز همه‌ی امکانات موردنیاز برای مسدودسازی حملات BYOVD را ارائه می‌دهد.

از آن زمان تاکنون، شاهد انتشار چندین پست ازطرف مایکروسافت بوده‌ایم که به به‌روزرسانی‌های خودکار مشابه راهکارهای فوق اشاره دارند. این شرکت در ماه دسامبر گذشته اعلام کرد که با فعال بودن HVCI ویندوز ۱۰، درایورهای امضاشده که آسیب‌پذیری آن‌ها گزارش شده است، به‌طور پیش‌فرض ازطریق مکانیزم خودکار آپدیت ویندوز، مسدود می‌شوند.

برای فعال کردن یک‌پارچگی حافظه باید به مسیر Windows Security > Device Security > Core isolation مراجعه کنید، اما بررسی‌ها نشان می‌دهد هیچ مدرکی مبنی‌بر این‌که به‌روزرسانی‌های دوره‌ای برای فهرست درایورهای ممنوعه ارائه شده است، وجود ندارد. مایکروسافت تا این‌لحظه از ابراز نظر درمورد این موضوع خودداری کرده است.

نتایج تلاش‌های پیتر کالانی، یکی از محققان امنیتی ESET که مطالب زیادی در حمله‌های BYOVD به‌اشتراک گذاشته است، نشان می‌دهد هنگامی‌که HVCI در سیستم مجهز به نسخه‌ی اینترپرایز ویندوز ۱۰ فعال شود، دستگاه درایور آسیب‌پذیری را بارگیری می‌کند که اخیراً لازاروس از آن سواستفاده کرده است.

محققان دیگری ازجمله ویل دورمن، تحلیل‌گر ارشد آسیب‌پذیری در شرکت امنیتی Analygence هفته‌ی گذشته در توییتی اعلام کردند که درایورهای مختلفی به‌طور فعال برای حمله‌های BYOVD مورد استفاده قرار می‌گیرند و آن‌طور که مایکروسافت در تبلیغات خود ادعا می‌کند، در مسدودسازی آن‌ها موفق نبوده است.

یکی از مشاهدات دورمن این بود که حتی با روشن بودن HVCI، ماشین‌های آزمایشگاهی او یک درایور آسیب‌پذیر به‌نام WinRing0- را به‌خوبی بارگیری کردند. این محقق با بررسی‌های بیشتر متوجه شد که درایور آسیب‌پذیر در قوانین بلاک درایور توصیه‌شده ازطرف مایکروسافت وجود ندارد. درهمان موضوع، وی نشان داد که با وجود ادعای مایکروسافت مبنی‌بر این‌که ASR می‌تواند جلوی نوشتن اطلاعات ازطریق درایورهای آسیب‌پذیر روی دیسک را بگیرد، اما هیچ مدرکی برای تأیید این ادعا وجود ندارد. غول فناوری مستقر در ردموند همچنان به این انتقاد پاسخ‌نداده است.

دورمن در ادامه کشف کرد که فهرست بلاک درایورهای دستگاه‌های ویندوز ۱۰ دارای HVCI، ازسال ۲۰۱۹ به‌روزرسانی نشده بود و فهرست بلاک اولیه برای سرور ۲۰۱۹ فقط شامل دو درایور بود.

با افزایش بررسی این وضعیت، یک مدیر پروژه مایکروسافت درنهایت اعتراف کرد که مشکلی در روند به‌روزرسانی فهرست بلاک درایور رخ داده است. وی توییت کرد که مایکروسافت مشکلات مربوط به فرآيند به‌روزرسانی‌های ماهانه را برطرف می‌کند؛ موردی که باعث می‌شود دستگاه‌ها نتوانند به‌روزرسانی‌های خط‌مشی را دریافت کنند. آنچه مدیر برنامه‌های شرکت اهل ردموند اعلام کرده است، به این موارد خلاصه می‌شود:

اگر فکر می‌کردید HVCI از شما دربرابر حمله‌های اخیر BYOVD محافظت می‌کند، احتمالاً اشتباه کرده‌اید و ویندوز ۱۰ تقریباً سه‌سال است که این فهرست را به‌روز نکرده است.

هم‌زمان با توییت مدیر پروژه، مایکروسافت ابزاری را منتشر کرد که به کاربران ویندوز ۱۰ اجازه می‌دهد به‌روزرسانی‌های فهرست بلاک را که به‌مدت سه‌سال متوقف شده بود، اجرا کنند. البته این فرایند به‌روزرسانی فقط یک‌بار انجام می‌شود. هنوز مشخص نیست آیا شرکت مذکور می‌تواند به‌روزرسانی‌های خودکار را ازطریق بخش Windows Update به فهرست بلاک درایورها ارائه دهد یا خیر.

درحالی‌که پاسخ مایکروسافت به سؤالات مطرح شده درمورد به‌روزرسانی فهرست بلاک درایورها، مشخص نبود، اما کارمندان این شرکت به‌طور فعال، مدیران و محققانی که سؤالاتی در این‌زمینه مطرح کرده بودند را نادیده گرفتند. به‌عنوان مثال، اخیراً دورمن در توییتی به ادعای نادرستی اشاره کرد که می‌گوید ASR تضمین می‌کند مسدودسازی درایور به‌روزرسانی‌شده به‌طور خودکار انجام می‌شود. وستون دراین‌مورد عذرخواهی نکرد و حتی وجود مشکل را نپذیرفت. او به‌جای تأیید مشکل، به به‌روزرسانی جدیدی که انتشار آن بیش از دوسال طول کشید اشاره کرد و گفت آپدیت‌های جدیدی در دست ساخت هستند و مایکروسافت از مدتی قبل ابزاری برای دریافت و اعمال آن‌ها روی ویندوز فراهم کرده است.

نزدیک‌ترین موردی که مایکروسافت به شکست خود درمورد آسیب‌پذیری BYOVD اعتراف کرده است، نظر یکی از نمایندگان این شرکت است که می‌گوید:

فهرست درایورهای آسیب‌پذیر، به‌طور منظم به‌روزرسانی می‌شود اما بازخوردهای دریافتی نشان می‌دهند که شکافی در همگام‌سازی نسخه‌های سیستم‌عامل وجود دارد. ما این مورد را اصلاح کرده‌ایم و در به‌روزرسانی‌های آینده ویندوز، منتشر خواهد شد. صفحه‌ی مستندات نیز با انتشار نسخه‌های جدید، به‌روزرسانی خواهند شد.

نماینده‌ی مایکروسافت اعلام نکرد که برطرف کردن شکاف موجود چقدر طول خواهد کشید. او همچنین به این‌که به‌روزرسانی‌های آینده ویندوز، مشکل را به‌طور کامل برطرف خواهند کرد یا خیر نیز اشاره نکرد.

دستورالعمل‌های مایکروسافت، نتیجه‌بخش هستند اما برای مدیرانی درنظر گرفته شده‌اند که از قبل، فهرست بلاک‌ها را مورد آزمایش قرار داده باشند. این انعطاف‌پذیری برای افرادی که مسئول کسب اطمینان از کارکرد صحیح روی دستگاه‌ها هستند، مفید است، اما برای کاربران معمولی، پیچیدگی‌های غیرضروری ایجاد می‌کند که شاید باعث شود نسبت به استفاده از آن منصرف شوند.

دورمن برای رفع مشکل فوق، اسکریپتی را ایجاد و منتشر کرد که استفاده‌از آن برای کاربران عادی احتمالاً آسان‌تر از روش پیچیده‌ی مایکروسافت خواهد بود. این اسکریپت در PowerShell اجرا می‌شود و مثل سایر اسکریپت‌های مشابه، باید نسبت به استفاده از آن توجه کافی داشته باشید. البته اثربخشی این روش روی همه‌ی سیستم‌ها تضمین نشده است.

پس از بازکردن PowerShell با سطح‌دسترسی مدیرکل (Run As Administrator)، کل محتویات اسکریپت دورمن را کپی و با استفاده از کلید‌های CTRL+V آن را روی PowerShell قرار دهید و سپس کلید اینتر را روی کیبورد فشار دهید. در مرحله‌ی بعد عبارت ApplyWDACPolicy -auto -enforce را تایپ کرده و دوباره اینتر را فشار دهید.

پس از انجام مراحل فوق، دستگاه شما دیگر قادر به بارگذاری فهرست طولانی درایورهای آسیب‌پذیر ازجمله مواردی که تحت‌تأثیر BYOVD قرار دارند، نخواهد بود.

همان‌طور که انتظار می‌رفت برای تأیید از مسدودسازی درایورها باید بررسی شود که آیا دستگاه شما mhyprot3.sys را به‌عنوان جانشین درایور ضدتقلب Genshin Impact بارگیری می‌کند یا خیر. اخیراً یک گروه باج‌افزاری درطول حملات هدفمند خود از این درایور سواستفاده کرده‌اند و درادامه با بهره‌گرفتن از آسیب‌پذیری موجود در آن، کد مخرب را برای غیرفعال کردن اسکن آنتی‌ویروس اجرا کرده‌اند. این درحالی‌است که قبل‌از اجرای اسکریپت دورمن، سیستم شما احتمالاً mhyprot3.sys را بدون هیچ مشکل خاصی نصب می‌کند.

درواقع تحقیقات کالنای از ESET نشان داد که سال گذشته، درایورهایی که به فهرست بلاک درایورهای مایکروسافت اضافه شده‌اند، در حمله‌های ‌BYOVD مورد استفاده قرار گرفته‌اند که برخی از آن‌ها در ادامه آورده شده‌اند:

• DBUtil_2_3.sys با Dell
• ene.sys با ENE Technology
• HW.sys با Marvin Test Solutions, Inc.
• physmem.sys با Hilscher Gesellschaft für Systemautomation mbH
• rtcore64.sys با Micro-Star
• mhyprot2.sys با miHoYo Co
• asWarPot.sys با Avas
• nvflash.sys با NVIDIA

درحال‌حاضر کاربران باید اطمینان حاصل کنند که مسدودسازی درایور را با آخرین فهرست نصب‌شده با استفاده از دستورالعمل مایکروسافت یا اسکریپت PowerShell دورمن روشن کرده‌اند. کاربران همچنین باید منتظر به‌روزرسانی‌های دیگری ازطرف مایکروسافت باشند تا مشخص شود فهرست بلاک درایورها چه‌زمانی به‌طور خودکار ازطریق مکانیزم به‌روزرسانی ویندوز، آپدیت خواهند شد.

مایکروسافت امیدوار است در بلندمدت، راهکارهای جدیدی را برای رفع مشکلات امنیتی مذکور، پیدا کند. اگر دورمن و سایر محققان، ازجمله کوین بومونت و برایان در پیتسبورگ، مشکلاتی را که با به‌روزرسانی‌های فهرست بلاک‌ درایورها تجربه کرده‌اند، گزارش نمی‌دادند، شاید غول فناوری ردموندی هنوز متوجه نشده بود چه اشتباه بزرگی در ویندوز رخ داده است. این منتقدان در بسیاری موارد، محصولات غول فناوری مستقر در ردموند را بهتر از مدیرانی مثل واستون می‌شناسند. این شرکت به‌جای این‌که منتقدان را به‌عنوان شاکیان ناآگاه نشان دهد، باید نتایج تحقیقات آن‌ها را بپذیرد و راهنمایی‌های عملی‌تری را برای افزایش امنیت سیستم‌عامل دسکتاپ خود ارائه کند.