- إنضم
- 20 أبريل 2016
- المشاركات
- 9,786
- مستوى التفاعل
- 16,368
- النقاط
- 9,320
غير متصل
Microsoft WPBT flaw يتيح للمتسللين تثبيت برامج rootkits على أجهزة Windows
يمكن استغلالها في هجمات سهلة لتثبيت أدوات rootkits على جميع أجهزة الكمبيوتر التي تعمل بنظام Windows والتي تم شحنها منذ عام 2012.
الجذور الخفية Rootkit هي أدوات خبيثة تصنعها الجهات الفاعلة في التهديد لتفادي الاكتشاف عن طريق دفنها بعمق في نظام التشغيل واستخدامها للسيطرة الكاملة على الأنظمة المخترقة أثناء التهرب من الاكتشاف.
WPBT هو جدول ثابت للبرامج الثابتة Firmware ACPI (التكوين المتقدم وواجهة الطاقة) الذي قدمته Microsoft بدءًا من Windows 8 للسماح للبائعين بتنفيذ البرامج في كل مرة يتم فيها تشغيل الجهاز.
ومع ذلك ، إلى جانب تمكين مصنعي المعدات الأصلية (OEM) من فرض تثبيت البرامج الهامة التي لا يمكن تجميعها مع وسائط تثبيت Windows ، يمكن أن تسمح هذه الآلية أيضًا للمهاجمين بنشر أدوات ضارة ، كما تحذر Microsoft في وثائقها الخاصة.
توضح Microsoft: "نظرًا لأن هذه الميزة توفر القدرة على تنفيذ برامج النظام باستمرار في سياق Windows ، يصبح من الضروري أن تكون الحلول المستندة إلى WPBT آمنة قدر الإمكان ولا تعرض مستخدمي Windows لظروف قابلة للاستغلال".
"على وجه الخصوص ، يجب ألا تتضمن حلول WPBT برامج ضارة (على سبيل المثال ، برامج ضارة أو برامج غير مرغوب فيها مثبتة دون موافقة كافية من المستخدم)."
يؤثر على جميع أجهزة الكمبيوتر التي تعمل بنظام Windows 8 أو أحدث
الضعف الذي وجده باحثو Eclypsium موجود على أجهزة الكمبيوتر التي تعمل بنظام Windows منذ عام 2012 ، عندما تم تقديم الميزة لأول مرة مع Windows 8.
يمكن أن تستخدم هذه الهجمات تقنيات مختلفة تسمح بالكتابة في الذاكرة حيث توجد جداول ACPI (بما في ذلك WPBT) أو باستخدام أداة تحميل إقلاع ضارة.
يمكن أن يكون هذا عن طريق إساءة استخدام ثغرة BootHole التي تتجاوز التمهيد الآمن Secure Boot أو عبر هجمات DMA من الأجهزة الطرفية أو المكونات الضعيفة.
قال باحثو Eclypsium: "حدد فريق بحث Eclypsium نقطة ضعف في قدرة Microsoft WPBT والتي يمكن أن تسمح للمهاجم بتشغيل تعليمات برمجية ضارة بامتيازات kernel عند بدء تشغيل الجهاز".
"يمكن استغلال هذا الضعف عبر نواقل متعددة (مثل الوصول المادي ، وعن بعد ، وسلسلة التوريد) وبواسطة تقنيات متعددة (مثل أداة تحميل التشغيل الخبيثة ، DMA ، إلخ)."
تشمل تدابير التخفيف استخدام سياسات WDAC
بعد أن أبلغت Eclypsium Microsoft بالخطأ ، أوصت شركة البرمجيات العملاقة باستخدام سياسة التحكم في تطبيق Windows Defender التي تسمح بالتحكم في الثنائيات التي يمكن تشغيلها على جهاز Windows.
تنص Microsoft في مستند الدعم: "يتم أيضًا فرض سياسة WDAC على الثنائيات المضمنة في WPBT ويجب أن تخفف هذه المشكلة".
يمكن إنشاء سياسات WDAC فقط على إصدارات العميل من Windows 10 1903 والإصدارات الأحدث و Windows 11 أو على Windows Server 2016 والإصدارات الأحدث.
في الأنظمة التي تعمل بإصدارات أقدم من Windows ، يمكنك استخدام سياسات AppLocker للتحكم في التطبيقات المسموح بتشغيلها على عميل Windows.
وأضاف باحثو Eclypsium: "يمكن لهذه العيوب على مستوى اللوحة الأم أن تتجنب مبادرات مثل Secured-core بسبب الاستخدام الواسع لكل من ACPI و WPBT".
"يحتاج المتخصصون في مجال الأمن إلى تحديد البرامج الثابتة المستخدمة في أنظمة Windows الخاصة بهم والتحقق منها وتقويتها. ستحتاج المؤسسات إلى مراعاة هذه المتجهات ، واستخدام نهج متعدد الطبقات للأمان لضمان تطبيق جميع الإصلاحات المتاحة وتحديد أي حلول وسط محتملة للأجهزة."
وجد Eclypsium ناقلًا آخر للهجوم يسمح للجهات الفاعلة بالتهديد بالتحكم في عملية تمهيد الجهاز المستهدف وكسر عناصر التحكم في الأمان على مستوى نظام التشغيل في ميزة BIOSConnect الخاصة بـ Dell SupportAssist ، وهو برنامج يتم تثبيته مسبقًا على معظم أجهزة Dell التي تعمل بنظام Windows.
كما كشف الباحثون ، فإن المشكلة "تؤثر على 129 طرازًا من أجهزة الكمبيوتر المحمولة للمستهلكين والشركات ، وأجهزة الكمبيوتر المكتبية ، والأجهزة اللوحية ، بما في ذلك الأجهزة المحمية بواسطة Secure Boot و Dell Secured-core PCs ،" مع تعرض ما يقرب من 30 مليون جهاز فردي للهجمات.
شاركت Eclypsium الفيديو التوضيحي التالي الذي يوضح كيف يمكن استغلال هذا الخلل الأمني.
الترجمة آلية بواسطة Google
Please,
تسجيل الدخول
or
تسجيل
to view URLs content!
