اشتباه مایکروسافت چگونه میلیونها رایانه شخصی را در معرض حملات بدافزاری قرار میدهد
مقامات مایکروسافت بهمدت تقریباً دوسال، مشکلاتی را در یکی از سیستمهای دفاعی کلیدی ویندوز ایجاد کردهاند که کاربران را درمعرض تکنیکهای نفوذ بدافزارها قرار میدهد. این مورد بهخصوص طی چندماه اخیر، بهعنوان روشی مؤثر در گسترش بدافزارها روی رایانههای شخصی، نقش داشته است.
مدیران مایکروسافت با قاطعیت تأکید کردهاند که بهروزرسانی ویندوز، داریورهای نرمافزاری جدید را بهطور خودکار به فهرست بلاک اضافه میکند که این راهکار برای خنثی کردن یکی از ترفندهای معروف پخش بدافزار طراحی شده است. تکنیک بدافزاری معروف به BYOVD، امکان دورزدن لایههای محافظت از هستهی ویندوز را برای مهاجم فراهم میکند. هکرها بهجای نوشتن یک اکسپلویت از ابتدا، بهسادگی هریک از دهها درایور شخصثالث آسیبپذیر را نصب و سپس از آنها برای دسترسی فوری به برخی از حساسترین مناطق ویندوز، سواستفاده میکنند.
بااینحال، مشخص شد که ویندوز بهروزرسانیها را بهدرستی در فهرست بلاک درایورها دانلود و اعمال نکرده است و این مورد، کاربران را دربرابر حملههای جدید BYOVD آسیبپذیر میکند.
با افزایش حملات، اقدامات متقابل مایکروسافت ضعیف میشود
درایورها معمولاً به رایانهها اجازه میدهند با چاپگرها، دوربینها یا سایر دستگاههای جانبی کار کنند یا کارهای دیگری مثل ارائهی تجزیهوتحلیل درمورد عملکرد سختافزار رایانه انجام دهند. بسیاری از درایورها برای کارکرد صحیح به دسترسی مستقیم به هسته نیاز دارد؛ هستهی سیستمعاملی که حساسترین کدها در آن قرار دارند. بههمیندلیل، مایکروسافت تلاش زیادی برای افزایش امنیت هستهی ویندوز انجام میدهد و از همهی درایورها میخواهد که گواهیهای موردنظر را بهصورت دیجیتالی امضا کنند؛ این مورد تأیید میکند که درایورهای موردنظر بازرسی شدهاند و منبع آنها قابلاعتماد است.
بهنوشته Arstechnica، گاهی درایورهای قانونی، آسیبپذیریهای مثل تخریب حافظه یا نقصهای جدی دیگری دارند که هکرها میتوانند با سواستفاده از آنها، کدهای مخرب را بهطور مستقیم به هستهی سیستمعامل تزریق کنند. حتی پساز اصلاح آسیبپذیریهای مذکور، درایورهای قدیمی و باگ آنها، گزینههایی ایدئال برای حملههای BYOVD محسوب میشوند، زیرا گواهی آنها قبلاً امضا شده است و بنابراین همچنان به کدهای حساس ویندوز دسترسی دارند. هکرها میتوانند با اضافه کردن این نوع درایورها به جریان اجرای حملههای بدافزاری، هفتهها در زمان توسعه و آزمایش روشهای نفوذ خود، صرفهجویی کنند.
هکرها حداقل از یکدهه قبل از BYOVD استفاده میکنند. بدافزاری بهنام Slingshot از سال ۲۰۱۲ از این آسیبپذیری بهره گرفته است. ازجمله بدافزارهای دیگری که از این باگ استفاده کردهاند میتوان به InvisiMole، LoJax و RobinHood اشاره کرد.
طی دوسال گذشته شاهد حملههای جدیدی از نوع BYOVD بودهایم که یکی از آنها در اواخر سال گذشته و با حمایت گروه لازاروس انجام شد. شایانذکر است این گروه تحت حمایت دولت کرهی شمالی قرار دارد. لازاروس از آسیبپذیری درایورهای ازکار افتاده، برای هدف قرار دادن یکی از کارمندان یک شرکت هوافضا در هلند و یک روزنامهنگار سیاسی در بلژیک استفاده کرده است.
مجرمان سایبری در حملهای دیگر، از آسیبپذیری BYOVD برای نصب و سپس سواستفاده از یک درایور حاوی این باگ در Micro-Star's MSI AfterBurner 4.6.2.15658 استفاده کردهاند. این ابزار برای اورکلاک گرافیکهای پرکاربرد مورداستفاده قرار میگیرد و هکرها از آن برای نصب باجافزار BlackByet بهره گرفتهاند.
یک گروه باجافزاری دیگر در ماه جولای، با نصب mhyprot2.sys، از یک درایور ضدتلقب منسوخشده که بازی بسیار محبوب Genshin Impact از آن استفاده میکند، برای اجرای کد آلوده و نفوذ در ویندوز بهره گرفتند.
ماه گذشته نیز گروه دیگری از هکرهای مرتبط با باجافزار AvosLocker، از درایور آسیبپذیر آنتیروتکیت Avast aswarpot.sys برای دورزدن فرایند اسکن ویروس، سواستفاده کردند. در کل باید اشاره کنیم که تعداد حملات BYOVD روند رو به رشدی را دنبال میکند.
مایکروسافت بهطور کامل از مشکلات BYOVD مطلع است و برای جلوگیری از این حملهها روی سیستم دفاعی جدیدی کار میکند. این شرکت سعی دارد با ایجاد مکانیزمهایی، از بارگیری درایورهای امضاشده و آسیبپذیر ویندوز جلوگیری کند. رایجترین راهکار برای مسدودسازی درایور، از ترکیب یکپارچگی حافظه و HVCI استفاده میکند که درواقع مخفف عبارت Hypervisor-Protected Code Integrity است. مکانیزم دیگری که برای جلوگیری از نوشتن درایورهای مخرب روی دیسک ارائه شده است با نام ASR یا Attack Surface Reduction شناخته میشود. متأسفانه بهنظر میرسد هیچیک از روشها عملکرد خوبی ندارد.
روشهای مایکروسافت برای جلوگیری از حملههای مبتنیبر باگ BYOVD
مایکروسافت حداقل از مارس ۲۰۲۰، یعنی زمانیکه پست جدیدی برای تبلیغ رایانههای شخصی Secured Core منتشر کرد، روشهای حفاظتی جدید خود را بهکاربران ارائه داده است؛ روشهایی که درآن، HVCI بهطور مستقیم فعال شده است. این شرکت رایانههای شخصی Secured Core (و بهطور کلی HVCI) را بهعنوان نوشدارویی برای حملههای BYOVD معرفی کرد که از درایورهای آسیبپذیر سرچشمه میگیرد. این شرکت میگوید:
ما در تحقیقات خود بیشاز ۵۰ فروشنده را شناسایی کردهایم که بسیاری از درایورهای مخرب را منتشر کردهاند. ما فعالانه با این فروشندگان همکاری میکنیم و یک برنامهی عملیاتی برای اصلاح درایورها تعیین خواهیم کرد. بهمنظور کمک بیشتر به مشتریان در شناسایی این درایورها و انجام اقدامات لازم، روش خودکاری ساختیم که میتوان با استفاده از آن، درایورهای آسیبپذیر را مسدود ساخت و آنها را ازطریق بهروزرسانی ویندوز، آپدیت کرد. کاربران همچنین قادر خواهند بود فهرست بلاک درایورها را مدیریت کنند.
در ادامهی پست مایکروسافت آمده است که تیمهای تحقیقاتی این شرکت بهطور مداوم روی اکوسیستم امنیتی نظارت دارند و درایورهایی را که در فهرستهای بلاک ارائهشده ازطرف آن قرار دارند، بهروزرسانی میکنند. این فهرست، ازطریق آپدیت ویندوز به دستگاهها منتقل میشود. دیوید وستون، معاون ارشد امنیت سازمانی و سیستمعامل مایکروسافت در توییتی اعلام کرد که کاربران با روشن کردن این محافظها از حملههای مدوام BYOVD درامان هستند. او اظهارداشت:
فروشندگان راهکارهای امنیتی به شما میگویند باید ابزارهای آنها را خریداری کنید، اما ویندوز همهی امکانات موردنیاز برای مسدودسازی حملات BYOVD را ارائه میدهد.
از آن زمان تاکنون، شاهد انتشار چندین پست ازطرف مایکروسافت بودهایم که به بهروزرسانیهای خودکار مشابه راهکارهای فوق اشاره دارند. این شرکت در ماه دسامبر گذشته اعلام کرد که با فعال بودن HVCI ویندوز ۱۰، درایورهای امضاشده که آسیبپذیری آنها گزارش شده است، بهطور پیشفرض ازطریق مکانیزم خودکار آپدیت ویندوز، مسدود میشوند.
برای فعال کردن یکپارچگی حافظه باید به مسیر Windows Security > Device Security > Core isolation مراجعه کنید، اما بررسیها نشان میدهد هیچ مدرکی مبنیبر اینکه بهروزرسانیهای دورهای برای فهرست درایورهای ممنوعه ارائه شده است، وجود ندارد. مایکروسافت تا اینلحظه از ابراز نظر درمورد این موضوع خودداری کرده است.
نتایج تلاشهای پیتر کالانی، یکی از محققان امنیتی ESET که مطالب زیادی در حملههای BYOVD بهاشتراک گذاشته است، نشان میدهد هنگامیکه HVCI در سیستم مجهز به نسخهی اینترپرایز ویندوز ۱۰ فعال شود، دستگاه درایور آسیبپذیری را بارگیری میکند که اخیراً لازاروس از آن سواستفاده کرده است.
محققان دیگری ازجمله ویل دورمن، تحلیلگر ارشد آسیبپذیری در شرکت امنیتی Analygence هفتهی گذشته در توییتی اعلام کردند که درایورهای مختلفی بهطور فعال برای حملههای BYOVD مورد استفاده قرار میگیرند و آنطور که مایکروسافت در تبلیغات خود ادعا میکند، در مسدودسازی آنها موفق نبوده است.
یکی از مشاهدات دورمن این بود که حتی با روشن بودن HVCI، ماشینهای آزمایشگاهی او یک درایور آسیبپذیر بهنام WinRing0- را بهخوبی بارگیری کردند. این محقق با بررسیهای بیشتر متوجه شد که درایور آسیبپذیر در قوانین بلاک درایور توصیهشده ازطرف مایکروسافت وجود ندارد. درهمان موضوع، وی نشان داد که با وجود ادعای مایکروسافت مبنیبر اینکه ASR میتواند جلوی نوشتن اطلاعات ازطریق درایورهای آسیبپذیر روی دیسک را بگیرد، اما هیچ مدرکی برای تأیید این ادعا وجود ندارد. غول فناوری مستقر در ردموند همچنان به این انتقاد پاسخنداده است.
دورمن در ادامه کشف کرد که فهرست بلاک درایورهای دستگاههای ویندوز ۱۰ دارای HVCI، ازسال ۲۰۱۹ بهروزرسانی نشده بود و فهرست بلاک اولیه برای سرور ۲۰۱۹ فقط شامل دو درایور بود.
با افزایش بررسی این وضعیت، یک مدیر پروژه مایکروسافت درنهایت اعتراف کرد که مشکلی در روند بهروزرسانی فهرست بلاک درایور رخ داده است. وی توییت کرد که مایکروسافت مشکلات مربوط به فرآيند بهروزرسانیهای ماهانه را برطرف میکند؛ موردی که باعث میشود دستگاهها نتوانند بهروزرسانیهای خطمشی را دریافت کنند. آنچه مدیر برنامههای شرکت اهل ردموند اعلام کرده است، به این موارد خلاصه میشود:
اگر فکر میکردید HVCI از شما دربرابر حملههای اخیر BYOVD محافظت میکند، احتمالاً اشتباه کردهاید و ویندوز ۱۰ تقریباً سهسال است که این فهرست را بهروز نکرده است.
همزمان با توییت مدیر پروژه، مایکروسافت ابزاری را منتشر کرد که به کاربران ویندوز ۱۰ اجازه میدهد بهروزرسانیهای فهرست بلاک را که بهمدت سهسال متوقف شده بود، اجرا کنند. البته این فرایند بهروزرسانی فقط یکبار انجام میشود. هنوز مشخص نیست آیا شرکت مذکور میتواند بهروزرسانیهای خودکار را ازطریق بخش Windows Update به فهرست بلاک درایورها ارائه دهد یا خیر.
درحالیکه پاسخ مایکروسافت به سؤالات مطرح شده درمورد بهروزرسانی فهرست بلاک درایورها، مشخص نبود، اما کارمندان این شرکت بهطور فعال، مدیران و محققانی که سؤالاتی در اینزمینه مطرح کرده بودند را نادیده گرفتند. بهعنوان مثال، اخیراً دورمن در توییتی به ادعای نادرستی اشاره کرد که میگوید ASR تضمین میکند مسدودسازی درایور بهروزرسانیشده بهطور خودکار انجام میشود. وستون دراینمورد عذرخواهی نکرد و حتی وجود مشکل را نپذیرفت. او بهجای تأیید مشکل، به بهروزرسانی جدیدی که انتشار آن بیش از دوسال طول کشید اشاره کرد و گفت آپدیتهای جدیدی در دست ساخت هستند و مایکروسافت از مدتی قبل ابزاری برای دریافت و اعمال آنها روی ویندوز فراهم کرده است.
نزدیکترین موردی که مایکروسافت به شکست خود درمورد آسیبپذیری BYOVD اعتراف کرده است، نظر یکی از نمایندگان این شرکت است که میگوید:
فهرست درایورهای آسیبپذیر، بهطور منظم بهروزرسانی میشود اما بازخوردهای دریافتی نشان میدهند که شکافی در همگامسازی نسخههای سیستمعامل وجود دارد. ما این مورد را اصلاح کردهایم و در بهروزرسانیهای آینده ویندوز، منتشر خواهد شد. صفحهی مستندات نیز با انتشار نسخههای جدید، بهروزرسانی خواهند شد.
نمایندهی مایکروسافت اعلام نکرد که برطرف کردن شکاف موجود چقدر طول خواهد کشید. او همچنین به اینکه بهروزرسانیهای آینده ویندوز، مشکل را بهطور کامل برطرف خواهند کرد یا خیر نیز اشاره نکرد.
رویکردی متفاوت
دستورالعملهای مایکروسافت، نتیجهبخش هستند اما برای مدیرانی درنظر گرفته شدهاند که از قبل، فهرست بلاکها را مورد آزمایش قرار داده باشند. این انعطافپذیری برای افرادی که مسئول کسب اطمینان از کارکرد صحیح روی دستگاهها هستند، مفید است، اما برای کاربران معمولی، پیچیدگیهای غیرضروری ایجاد میکند که شاید باعث شود نسبت به استفاده از آن منصرف شوند.
دورمن برای رفع مشکل فوق، اسکریپتی را ایجاد و منتشر کرد که استفادهاز آن برای کاربران عادی احتمالاً آسانتر از روش پیچیدهی مایکروسافت خواهد بود. این اسکریپت در PowerShell اجرا میشود و مثل سایر اسکریپتهای مشابه، باید نسبت به استفاده از آن توجه کافی داشته باشید. البته اثربخشی این روش روی همهی سیستمها تضمین نشده است.
پس از بازکردن PowerShell با سطحدسترسی مدیرکل (Run As Administrator)، کل محتویات اسکریپت دورمن را کپی و با استفاده از کلیدهای CTRL+V آن را روی PowerShell قرار دهید و سپس کلید اینتر را روی کیبورد فشار دهید. در مرحلهی بعد عبارت ApplyWDACPolicy -auto -enforce را تایپ کرده و دوباره اینتر را فشار دهید.
پس از انجام مراحل فوق، دستگاه شما دیگر قادر به بارگذاری فهرست طولانی درایورهای آسیبپذیر ازجمله مواردی که تحتتأثیر BYOVD قرار دارند، نخواهد بود.
همانطور که انتظار میرفت برای تأیید از مسدودسازی درایورها باید بررسی شود که آیا دستگاه شما mhyprot3.sys را بهعنوان جانشین درایور ضدتقلب Genshin Impact بارگیری میکند یا خیر. اخیراً یک گروه باجافزاری درطول حملات هدفمند خود از این درایور سواستفاده کردهاند و درادامه با بهرهگرفتن از آسیبپذیری موجود در آن، کد مخرب را برای غیرفعال کردن اسکن آنتیویروس اجرا کردهاند. این درحالیاست که قبلاز اجرای اسکریپت دورمن، سیستم شما احتمالاً mhyprot3.sys را بدون هیچ مشکل خاصی نصب میکند.
این تصاویر تفاوت میان روش مایکروسافت با روش اجرای اسکریپت PowerShell را برای مسدودسازی درایورهای آسیبدیدهی ویندوز نشان میدهند. شایانذکر است که روش دوم در دوسال گذشته عملکرد خوبی داشته است. باید اشاره کنیم که اگر روش پیشنهادی مایکروسافت واقعاً طبق ادعای این شرکت عمل میکرد، حداقل برخی از کمپینهای بدافزاری اخیر که از روش BYOVD بهره گرفتهاند، موفقیت کمتری داشتند.
درواقع تحقیقات کالنای از ESET نشان داد که سال گذشته، درایورهایی که به فهرست بلاک درایورهای مایکروسافت اضافه شدهاند، در حملههای BYOVD مورد استفاده قرار گرفتهاند که برخی از آنها در ادامه آورده شدهاند:
- DBUtil_2_3.sys با Dell
- ene.sys با ENE Technology
- HW.sys با Marvin Test Solutions, Inc.
- physmem.sys با Hilscher Gesellschaft für Systemautomation mbH
- rtcore64.sys با Micro-Star
- mhyprot2.sys با miHoYo Co
- asWarPot.sys با Avas
- nvflash.sys با NVIDIA
حفظ امنیت
درحالحاضر کاربران باید اطمینان حاصل کنند که مسدودسازی درایور را با آخرین فهرست نصبشده با استفاده از دستورالعمل مایکروسافت یا اسکریپت PowerShell دورمن روشن کردهاند. کاربران همچنین باید منتظر بهروزرسانیهای دیگری ازطرف مایکروسافت باشند تا مشخص شود فهرست بلاک درایورها چهزمانی بهطور خودکار ازطریق مکانیزم بهروزرسانی ویندوز، آپدیت خواهند شد.
مایکروسافت امیدوار است در بلندمدت، راهکارهای جدیدی را برای رفع مشکلات امنیتی مذکور، پیدا کند. اگر دورمن و سایر محققان، ازجمله کوین بومونت و برایان در پیتسبورگ، مشکلاتی را که با بهروزرسانیهای فهرست بلاک درایورها تجربه کردهاند، گزارش نمیدادند، شاید غول فناوری ردموندی هنوز متوجه نشده بود چه اشتباه بزرگی در ویندوز رخ داده است. این منتقدان در بسیاری موارد، محصولات غول فناوری مستقر در ردموند را بهتر از مدیرانی مثل واستون میشناسند. این شرکت بهجای اینکه منتقدان را بهعنوان شاکیان ناآگاه نشان دهد، باید نتایج تحقیقات آنها را بپذیرد و راهنماییهای عملیتری را برای افزایش امنیت سیستمعامل دسکتاپ خود ارائه کند.