التخطي إلى المحتوى

صور جيتي

على مدار الخمسة عشر عامًا الماضية ، قطعت Microsoft خطوات كبيرة في تقوية نواة Windows. Windows kernel هو جوهر نظام التشغيل الذي يجب على المتسللين التحكم فيه من أجل التحكم في جهاز الكمبيوتر الخاص بك بنجاح. كان حجر الزاوية في هذا التقدم هو سن قيود جديدة صارمة على برامج تشغيل النظام التي يمكن تحميلها في وضع kernel. تعد برامج التشغيل هذه ضرورية لجهاز الكمبيوتر الخاص بك للعمل مع الطابعات والأجهزة الطرفية الأخرى ، ولكنها أيضًا أداة تطفل سهلة الاستخدام يمكن للقراصنة استخدامها لمنح البرامج الضارة وصولاً غير مقيد إلى الأجزاء الأكثر حساسية في Windows. هناك أيضًا. مع ظهور نظام التشغيل Windows Vista ، لا يمكن تحميل جميع برامج التشغيل هذه إلا بعد الحصول على موافقة مسبقة من Microsoft وتوقيعها رقميًا للتأكد من أنها آمنة.

في الأسبوع الماضي ، اكتشف باحثون في شركة ESET الأمنية أنه منذ ما يقرب من عام ، فتحت Lazarus ، وهي مجموعة قرصنة مدعومة من حكومة كوريا الشمالية ، ثغرة على نطاق ميل كانت موجودة منذ البداية في Microsoft’s Driver Signing Enforcement (DSE). لسوء الاستخدام. وثيقة خبيثة تمكن Lazarus من فتحها عن طريق خداع هدف للحصول على تحكم إداري بجهاز الكمبيوتر الهدف ، بينما تدعي حماية النواة الحديثة في Windows أن Lazarus يهاجم النواة ، مما شكل عقبة هائلة أمام تحقيق الهدف.

الطريق الأقل مقاومة

على هذا النحو ، اختار Lazarus أحد أقدم كتب اللعب التي تستغل Windows. هذه تقنية تسمى BYOVD ، والتي تعني إحضار السائقين المعرضين للخطر. بدلاً من إيجاد وتكاثر بعض أيام الصفر المضحكة لخرق حماية نواة Windows ، استخدم أعضاء Lazarus وصول المسؤول لديهم بالفعل قبل اكتشاف ثغرة خطيرة في العام الماضي.لقد قمت بتثبيت برنامج تشغيل تم توقيعه رقميًا بواسطة Dell. إساءة الحصول على امتيازات kernel.

وفقًا للباحث في ESET Peter Kálnai ، أرسل Lazarus هدفين: موظف في شركة طيران هولندية وصحفي سياسي بلجيكي. تم تضمين مستند Microsoft Word مع تعليمات برمجية ضارة أصابت جهاز الكمبيوتر الخاص بك عند فتحه. أراد المتسللون تثبيت باب خلفي معقد يسمى Blindingcan ، ولكن للقيام بذلك ، كان عليهم أولاً تعطيل حماية Windows المختلفة. في هذه الحالة ، كان المسار الأقل مقاومة هو تثبيت dbutil_2_3.sys ، وهو برنامج تشغيل عربات التي تجرها الدواب Dell المسؤول عن تحديث البرامج الثابتة Dell عبر الأداة المساعدة BIOS المخصصة من Dell.

كتب Kálnai: “لأول مرة على الإطلاق ، تمكن المهاجم من الاستفادة من CVE-2021-21551 لإيقاف تشغيل المراقبة لجميع حلول الأمان” ، مستخدمًا ذلك لتتبع نقاط الضعف في برامج تشغيل Dell. يشير ذلك إلى التعيين المحدد. “لم يتم إجراؤها في مساحة النواة فحسب ، بل تم إجراؤها أيضًا بطريقة قوية باستخدام مجموعة صغيرة أو غير موثقة من Windows الداخلي. لقد تطلبت بحثًا عميقًا ، وتطويرًا ، ومهارات اختبار.”

في القضية المتعلقة بصحفي ، تم بدء الهجوم ، ولكن تم إحباطه بسرعة بواسطة منتجات ESET لأنها تحتوي على ملف واحد ضار قابل للتنفيذ.

في حين أنها قد تكون أول حالة موثقة لمهاجم يستغل CVE-2021-21551 لخرق حماية Windows kernel ، إلا أنها ليست أول حالة لهجوم BYOVD. تتضمن عينة صغيرة من هجمات BYOVD السابقة ما يلي:

  • البرنامج الضار ، الملقب SlingShot ، اختبأ في الأنظمة المصابة لمدة ست سنوات قبل أن تكتشفه شركة الأمن Kaspersky. كان SlingShot موجودًا منذ عام 2012 وتم اكتشافه في عام 2007 في برامج تشغيل مثل Speedfan.sys و sandra.sys و https://cve.mitre.org/cgi-bin/cvename.cgi؟name=CVE-2009. استغلوا هذه الثغرة الأمنية. -0824. تم توقيع برامج التشغيل هذه رقميًا في وقت واحد ، لذلك كانت الثغرة الأمنية معروفة جيدًا ، ولكن لم يكن لدى Microsoft طريقة فعالة لمنع Windows من تحميل برامج التشغيل.
  • RobbinHood هو اسم برنامج الفدية الذي يقوم بتثبيت برنامج تشغيل اللوحة الأم GDRV.SYS من GIGABYTE ويستغل الثغرة الأمنية المعروفة CVE-2018-19320 لتثبيت برامج التشغيل الخبيثة الخاصة به.
  • كان LoJax أول مجموعة أدوات الجذر UEFI المعروفة لاستخدامها في البرية. من أجل الوصول إلى وحدات UEFI المستهدفة ، قامت البرامج الضارة بتثبيت أداة مساعدة قوية تسمى RWEverything بتوقيع رقمي صالح.