بیش از ۴۰ درایور آسیب‌پذیر به نفوذگران اجازه می‌دهند تا در رایانه‌های شخصی ویندوزی درب‌پشتی ماندگار نصب کنند

گروهی از پژوهش‌گران امنیتی در بیش از ۴۰ درایور مربوط به حداقل ۲۰ شرکت مختلف آسیب‌پذیری‌های امنیتی با خطر بالا کشف کرده‌اند که به مهاجمان اجازه می‌دهد تا به بسیاری از مجوزها در سیستم دست یابند و بدافزار را به روشی که برای مدت‌ها غیرقابل شناسایی باقی می‌ماند، مخفی کنند. برای مهاجمان حرفه‌ای، ماندگاری درب‌پشتی پس از آلودگی سیستم یکی از مهم‌ترین کارها است و برای دست‌یابی به آن آسیب‌پذیری‌های سخت‌افزاری موجود نقش مهمی ایفا می‌کنند.

یکی از این مؤلفه‌ها درایور دستگاه است که معمولاً به‌عنوان یک درایور یا درایور سخت‌افزاری و یا یک برنامه‌ی نرم‌افزاری شناخته می‌شود که یک نوع خاصی از دستگاه سخت‌افزاری را کنترل می‌کند و به آن کمک می‌کند تا به‌درستی با سیستم عامل رایانه ارتباط برقرار کند.

از آن‌جا که درایورهای دستگاه بین سخت‌افزار و سیستم عامل قرار می‌گیرد و در بیشتر موارد دسترسی مجاز به هسته‌ی سیستم عامل دارد، یک ضعف امنیتی در این رایانه می‌تواند منجر به اجرای کد در لایه ی هسته شود. این حمله‌ی ارتقاء امتیاز می‌تواند یک مهاجم را از حالت کاربر به حالت هسته‌ی سیستم عامل انتقال دهد، به آن‌ها اجازه می‌دهد تا یک درب‌پشتی ماندگار در سیستم نصب کنند که کاربر هرگز متوجه آن نشود.

پژوهش‌گران شرکت امنیت سخت‌افزار و میان‌افزار Eclypsium کشف کردند که برخی از این آسیب‌پذیری‌های جدید امکان خواندن و نوشتن حافظه‌ی هسته، Model-Specific Registers (MSRs)، Control Registers (CR)، Debug Registers (DR) و حافظه‌ی فیزیکی را فراهم می‌کنند.

پژوهش‌گران تشریح کردند که همه‌ی این آسیب‌پذیری‌ها به درایور اجازه می‌دهند که مانند یک پروکسی عمل کند تا به منابع سخت‌افزاری که به مهاجمان اجازه می‌دهند تا ابزارهای مورد استفاده برای مدیریت سیستم را به تهدیدهای قدرتمندی برای ارتقاء امتیاز و ماندگاری در میزبان تبدیل کنند، دسترسی سطح بالا پیدا کنند.

دسترسی به هسته نه تنها می‌تواند دسترسی مجاز به سیستم عامل را به یک مهاجم بدهد بلکه می‌تواند دسترسی به رابط‌های سخت‌افزار و میان‌افزار را با امتیازات سطح بالا اعطا کند. از آن‌جا که بدافزار درحال اجرا در فضای کاربر است می‌تواند به‌سادگی درایور آسیب‌پذیر را در دستگاه قربانی جستجو کند تا آن را در معرض خطر قرار دهد و مهاجمان نیاز به نصب درایور آسیب‌پذیر خود ندارند زیرا نصب آن به امتیازات مدیر نیاز دارد.

همه‌ی درایورهای آسیب‌پذیر کشف‌شده که در زیر فهرست شده، توسط مایکروسافت تأیید شده است:

  • American Megatrends International (AML)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • ‌Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

این فهرست همچنین شامل سه شرکت سخت‌افزاری دیگر است که پژوهش‌گران نامی از آن‌ها ذکر نکرده‌اند.

برخی از درایورهای آسیب‌پذیر با کارت‌های گرافیکی، آداپتورهای شبکه، حافظه‌ها و سایر دستگاه‌ها تعامل برقرار می‌کنند. بدافزار ماندگار در این دستگاه‌ها می‌تواند داده‌ی ذخیره‌شده، نمایش داده‌شده و یا ارسال‌شده در شبکه را بخواند یا بنویسد و یا انتقال دهد. به همین ترتیب، هر یک از این مؤلفه‌ها می‌توانند به‌عنوان یک حمله‌ی باج‌افزاری یا حمله‌ی منع سرویس غیرفعال شوند.

آسیب‌پذیری‌های درایور دستگاه می‌تواند بسیار خطرناک‌تر از آسیب‌پذیری‌های سایر برنامه‌ها باشد. پژوهش‌گران این آسیب‌پذیری‌ها را به شرکت‌های مربوطه گزارش داده‌اند و برخی از آن‌ها از جمله اینتل و هوآوی به‌روزرسانی‌های وصله‌ و یک مشاوره‌نامه‌ی امنیتی منتشر کردند.

علاوه‌براین، پژوهش‌گران قول داده‌اند که به‌زودی یک اسکریپت به همراه کد اثبات مفهومی و ویدئو و پیوندهای مربوط به درایور‌های آسیب‌پذیر را در گیت‌هاب منتشر کنند که به کاربران کمک خواهد کرد تا درایورهای آسیب‌پذیر نصب‌شده در سیستم‌های خود را پیدا کنند.

منبع

پست‌های مشابه

Leave a Comment