الرئيسية / أمن المعلومات / خطأ فادح من Microsoft أدى إلى فتح الملايين من أجهزة الكمبيوتر لهجمات البرامج الضارة

خطأ فادح من Microsoft أدى إلى فتح الملايين من أجهزة الكمبيوتر لهجمات البرامج الضارة


أخطأ مسؤولو Microsoft في دفاع Windows الرئيسي ، وهو خطأ غير مفسر ترك العملاء عرضة لتقنية الإصابة بالبرامج الضارة التي كانت فعالة بشكل خاص في الأشهر الأخيرة.

أكد مسؤولو Microsoft بثبات أن Windows Update سيضيف تلقائياً برامج تشغيل "Drivers" برامج جديدة إلى قائمة الحظر المصممة لإحباط خدعة معروفة في دليل الإصابة بالبرامج الضارة. إن تقنية البرامج الضارة - المعروفة باسم BYOVD ، إختصاراً لـ "إحضار برنامج التشغيل الضعيف الخاص بك" - تجعل من السهل على المهاجم الذي لديه تحكم إداري تجاوز حماية Windows kernel. بدلاً من كتابة برمجيات إكسبلويت من الصفر ، يقوم المهاجم ببساطة بتثبيت أي واحد من عشرات برامج التشغيل التابعة لجهات خارجية مع وجود نقاط ضعف معروفة. ثم يستغل المهاجم هذه الثغرات الأمنية للوصول الفوري إلى بعض أكثر مناطق Windows تحصيناً.

ومع ذلك ، إتضح أن Windows لم يكن يقوم بتنزيل التحديثات وتطبيقها بشكل صحيح على قائمة حظر برامج التشغيل ، مما يجعل المستخدمين عرضة لهجمات BYOVD الجديدة.

مع تصاعد الهجمات ، تضعف الإجراءات المضادة لـ Microsoft

تسمح برامج التشغيل عادةً لأجهزة الكمبيوتر بالعمل مع الطابعات أو الكاميرات أو الأجهزة الطرفية الأخرى - أو القيام بأشياء أخرى مثل توفير تحليلات حول عمل أجهزة الكمبيوتر. لكي يعمل العديد من السائقين ، يحتاجون إلى خط أنابيب مباشر إلى النواة ، جوهر نظام التشغيل حيث يوجد الرمز الأكثر حساسية. لهذا السبب ، تقوم Microsoft بتحصين النواة بشدة وتتطلب توقيع جميع برامج التشغيل رقمياً بشهادة تتحقق من فحصها وأنها تأتي من مصدر موثوق.

ومع ذلك ، فإن برامج التشغيل الشرعية تحتوي أحياناً على ثغرات أمنية تتعلق بفساد الذاكرة أو عيوب خطيرة أخرى ، والتي ، عند استغلالها ، تسمح للقراصنة بنقل شفراتهم الضارة مباشرة إلى النواة. حتى بعد قيام أحد المطورين بتصحيح الثغرة الأمنية ، تظل برامج تشغيل عربات التي تجرها الدواب القديمة مرشحة ممتازة لهجمات BYOVD لأنها موقعة بالفعل. من خلال إضافة هذا النوع من برامج التشغيل إلى تدفق تنفيذ هجوم البرامج الضارة ، يمكن للقراصنة توفير أسابيع من وقت التطوير والإختبار.
لقد كانت BYOVD حقيقة من حقائق الحياة لمدة عقد على الأقل. تم استخدام البرامج الضارة التي يطلق عليها إسم "Slingshot "BYOVD منذ عام 2012 على الأقل ، ومن بين المشاركين الأوائل الآخرين في مشهد BYOVD LoJax و InvisiMole و RobbinHood .

على مدار العامين الماضيين ، شهدنا سلسلة من هجمات BYOVD الجديدة. ونفذت جماعة لازاروس المدعومة من الحكومة الكورية الشمالية أحد هذه الهجمات أواخر العام الماضي. لقد إستخدمت سائق Dell الذي تم إيقاف تشغيله مع وجود ضعف شديد الخطورة لاستهداف موظف في شركة طيران في هولندا وصحفي سياسي في بلجيكا.

في هجوم BYOVD منفصل قبل بضعة أشهر ، قام المجرمون الإلكترونيون بتثبيت BlackByte ransomware عن طريق تثبيت ثم استغلال برنامج تشغيل عربات التي تجرها الدواب لـ Micro-Star's MSI AfterBurner 4.6.2.15658 ، وهي أداة مستخدمة على نطاق واسع لرفع تردد تشغيل بطاقة الرسومات.

في جويلية ، قامت مجموعة تهديدات من برامج الفدية بتثبيت برنامج التشغيل mhyprot2.sys - برنامج مكافحة الغش المتوقف الذي تستخدمه اللعبة الشهيرة Genshin Impact - أثناء الهجمات المستهدفة التي استمرت لإستغلال ثغرة أمنية في تنفيذ التعليمات البرمجية في برنامج التشغيل للتعمق أكثر في Windows.

قبل شهر ، قام المجرمون الذين نشروا برنامج الفدية AvosLocker بإساءة استخدام برنامج Avast المضاد للجذور الخفية aswarpot.sys لتجاوز فحص الفيروسات.

تم تخصيص منشورات المدونة بالكامل لتعداد الحالات المتزايدة لهجمات BYOVD ، مع هذا المنشور من شركة الأمان Eclypsium وهذا المنشور من ESET من بين أبرزها.

تدرك شركة Microsoft تماماً تهديد BYOVD وتعمل على الدفاعات لوقف هذه الهجمات ، وذلك بشكل أساسي من خلال إنشاء آليات لمنع Windows من تحميل برامج التشغيل الموقعة ولكنها ضعيفة. تستخدم الآلية الأكثر شيوعاً لحظر برنامج التشغيل مزيجاً مما يسمى تكامل الذاكرة و HVCI ، وهو اختصار لـ Hypervisor-Protected Code Integrity . تُعرف آلية منفصلة لمنع برامج التشغيل السيئة من الكتابة على القرص باسم ASR ، أو تقليل سطح الهجوم.

لسوء الحظ ، لا يبدو أن أياً من النهجين قد نجح كما هو مقصود.

DZ-Djamel-GSM

عن DZ-Djamel-GSM


مهتم بنشر الوعي التقني,كاتب مغرم بالمعلومة.

شاركنا رأيك حول : خطأ فادح من Microsoft أدى إلى فتح الملايين من أجهزة الكمبيوتر لهجمات البرامج الضارة

شاهد أيضاً

أمن المعلومات: أصيبت شركة الأمن Malwarebytes بنفس المتسللين الذين ضربوا SolarWinds