رکن چهارم – در ویندوز ۱۰ حفاظتهای امنیتی در سطح هستهی سامانه عامل با نام PatchGuard وجود دارد. اخیراً بهرهبرداری برای دور زدن این ویژگی امنیتی توسعه داده شده است که مهاجمان سایبری با کمک آن میتوانند روتکیتها سطح هسته را در سامانه نصب کنند.
از زمانیکه راهکارهای امنیتی PatchGuard و DeviceGuard در ویندوز ۱۰ ارائه شده است، در این سامانه عامل از لحاظ امنیتی تعداد بسیار کمی روتکیت مشاهده شده و تعداد حملات مبتنی بر حافظه نیز کاهش یافته است. یک ویژگی در پردازندههای جدید اینتل با نام «ردیابی پردازنده» ارائه شده است که محققان امنیتی اعلام کردند میتواند راهکار حفاظتی PatchGuard را تحت تأثیر قرار دهد.
این بهرهبرداری برای دور زدن راهکار امنیتی GhostHook نام داشته و نوعی پسا-بهرهبرداری محسوب میشود. برای استفاده از این بهرهبردای، مهاجم باید به سامانهی آلوده دسترسی داشته باشد و بتواند کد را در سطح هستهی سامانه عامل اجرا کند. مایکروسافت اعلام کرده در حال حاضر این اشکال را وصله نخواهد کرد و ممکن است در نسخههای آتی ویندوز به آن رسیدگی کند.
سخنگوی مایکروسافت در بیانیهای گفت: «بهرهبرداری از این اشکال مستلزم این است که مهاجم بهطور کامل به سامانهی آلوده دسترسی داشته باشد. ما به مشتریان خود توصیه میکنیم تا در فضای برخط و مجازی عادتهای صحیحی را دنبال کنند. بهطور مثال بر روی پیوندهای مشکوک در وبگاهها کلیک نکنند. پروندههای ناشناس را باز نکرده و با فرآیند انتقال پرونده در سامانههای خود موافقت نکنند.»
محققان امنیتی اشاره کردند ممکن است وصله کردن این اشکال برای مایکروسافت مشکل باشد و تنها راهحل برای برطرف کردن آن این است که شرکتهای امنیتی وارد عمل شده و توابعی را برای قلاب کردن PatchGuard ارائه کنند. ویژگی PT در اینتل شرکتهای امنیتی را قادر میسازد تا بر روی پشتهای از دستوراتی که در پردازنده اجرا شده نظارت داشته باشند و قبل از رسیدن حملات به سطح سامانه عامل، آن را شناسایی کنند.
محققان امنیتی گفتند این اشکال به دنبال اشتباهاتی که مایکروسافت در پیادهسازی PT اینتل داشته ناشی میشود. این اشکال درست در نقطهای قرار دارد که این ویژگی با سامانه عامل ارتباط برقرار میکند. این ویژگی در اینتل یک سری واسط برنامهنویسی است که کد هسته میتواند از آن برای خواندن و نوشتن اطلاعات از پردازنده استفاده کند. این اشتباه مایکروسافت باعث میشود مهاجم نه تنها بتواند اطلاعات را بخواند، بلکه بتواند کدهای مخرب خود را نیز وارد بخش امنی از هستهی سامانه عامل بکند.
محققان امنیتی گفتند این اشکال در حال حاضر در دنیای واقعی مشاهده نشده است ولی نهادهای دولتی در حال بهرهبرداری از آن هستند. این آسیبپذیری بهقدری جدی است که اگر مهاجمان بتوانند از آن بهرهبرداری کنند، میتوانند چندین ماه بهطور مخفیانه و ناشناس عملیات خود را ادامه دهند تا احتمالاً یک نفر رفتارهای مشکوکی را گزارش کند. اگر این بهرهبرداری به قابلیتهای یک باجافزار افزوده شود، فاجعهی بزرگی به بار خواهد آمد که هیچکس هم نمیتواند جلوی آن را بگیرد چرا که پشت PatchGuard عمل میکند. باجافزارها در حال حاضر به دلیل وجود PatchGuard در حالت کاربر عمل میکنند.
