حمله‌ی GhostHook حفاظت‌های امنیتی در سطح هسته‌ی ویندوز ۱۰ را دور می‌زند

رکن چهارم – در ویندوز ۱۰ حفاظت‌های امنیتی در سطح هسته‌ی سامانه عامل با نام PatchGuard وجود دارد. اخیراً بهره‌برداری برای دور زدن این ویژگی امنیتی توسعه داده شده است که مهاجمان سایبری با کمک آن می‌توانند روت‌کیت‌ها سطح هسته را در سامانه نصب کنند.

از زمانی‌که راه‌کارهای امنیتی PatchGuard و DeviceGuard در ویندوز ۱۰ ارائه شده است، در این سامانه عامل از لحاظ امنیتی تعداد بسیار کمی روت‌کیت مشاهده شده و تعداد حملات مبتنی بر حافظه نیز کاهش یافته است. یک ویژگی در پردازنده‌های جدید اینتل با نام «ردیابی پردازنده» ارائه شده است که محققان امنیتی اعلام کردند می‌تواند راه‌کار حفاظتی PatchGuard را تحت تأثیر قرار دهد.

 

این بهره‌برداری برای دور زدن راه‌کار امنیتی GhostHook نام داشته و نوعی پسا-بهره‌برداری محسوب می‌شود. برای استفاده از این بهره‌بردای، مهاجم باید به سامانه‌ی آلوده دسترسی داشته باشد و بتواند کد را در سطح هسته‌ی سامانه عامل اجرا کند. مایکروسافت اعلام کرده در حال حاضر این اشکال را وصله نخواهد کرد و ممکن است در نسخه‌های آتی ویندوز به آن رسیدگی کند.

 

سخنگوی مایکروسافت در بیانیه‌ای گفت: «بهره‌برداری از این اشکال مستلزم این است که مهاجم به‌طور کامل به سامانه‌ی آلوده دسترسی داشته باشد. ما به مشتریان خود توصیه می‌کنیم تا در فضای برخط و مجازی عادت‌های صحیحی را دنبال کنند. به‌طور مثال بر روی پیوندهای مشکوک در وب‌گاه‌ها کلیک نکنند. پرونده‌های ناشناس را باز نکرده و با فرآیند انتقال پرونده‌ در سامانه‌های خود موافقت نکنند.»

 

محققان امنیتی اشاره کردند ممکن است وصله کردن این اشکال برای مایکروسافت مشکل باشد و تنها راه‌حل برای برطرف کردن آن این است که شرکت‌های امنیتی وارد عمل شده و توابعی را برای قلاب کردن PatchGuard ارائه کنند. ویژگی PT در اینتل شرکت‌های امنیتی را قادر می‌سازد تا بر روی پشته‌ای از دستوراتی که در پردازنده اجرا شده نظارت داشته باشند و قبل از رسیدن حملات به سطح سامانه عامل، آن را شناسایی کنند. 

 

محققان امنیتی گفتند این اشکال به دنبال اشتباهاتی که مایکروسافت در پیاده‌سازی PT اینتل داشته ناشی می‌شود. این اشکال درست در نقطه‌ای قرار دارد که این ویژگی با سامانه عامل ارتباط برقرار می‌کند. این ویژگی در اینتل یک سری واسط برنامه‌نویسی است که کد هسته می‌تواند از آن برای خواندن و نوشتن اطلاعات از پردازنده استفاده کند. این اشتباه مایکروسافت باعث می‌شود مهاجم نه تنها بتواند اطلاعات را بخواند، بلکه بتواند کدهای مخرب خود را نیز وارد بخش امنی از هسته‌ی سامانه عامل بکند. 

 

محققان امنیتی گفتند این اشکال در حال حاضر در دنیای واقعی مشاهده نشده است ولی نهادهای دولتی در حال بهره‌برداری از آن هستند. این آسیب‌پذیری به‌قدری جدی است که اگر مهاجمان بتوانند از آن بهره‌برداری کنند، می‌توانند چندین ماه به‌طور مخفیانه و ناشناس عملیات خود را ادامه دهند تا احتمالاً یک نفر رفتارهای مشکوکی را گزارش کند. اگر این بهره‌برداری به قابلیت‌های یک باج‌افزار افزوده شود، فاجعه‌ی بزرگی به بار خواهد آمد که هیچ‌کس هم نمی‌تواند جلوی آن را بگیرد چرا که پشت PatchGuard عمل می‌کند. باج‌افزارها در حال حاضر به دلیل وجود PatchGuard در حالت کاربر عمل می‌کنند.

منبع: threatpost

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.