باگ امنیتی Windows Defender پس از ۱۲ سال رفع شد
قدیمی بودن آسیبپذیری به معنای بیفایده بودن آن نیست. خواه هک ادوبی فلش باشد یا بهرهبرداری از EternalBlue ویندوز، برخی از روشها به قدری خوب هستند که حتی اگر مدتزمان زیادی از دوران اوج آنها گذشته باشد، باز هم هکرها نمیتوانند آنها را کنار بگذارند. اما ظاهراً یک اشکال مهم ۱۲ ساله در آنتیویروس معروف Windows Defender تا همین اواخر مورد حمله مهاجمان و سودجویان قرار نگرفته بود و مایکروسافت سرانجام پس از گذشت این همه سال، برای این آسیبپذیری پچ امنیتی ارائه کرده است. نکته اصلی این جا است که باید مطمئن شد هکرها سعی نکنند این زمان ازدسترفته را جبران کنند.
براساس گزارش Wired، نقص کشفشده توسط محققان شرکت امنیتی SentinelOne در درایوری بود که Windows Defender از آن برای پاک کردن فایلها و زیرساختهای مهاجمِ ساختهشده توسط بدافزارها استفاده میکرد. هنگامی که درایور یک فایل مخرب را حذف میکند، در هنگام اصلاح، آن را بهعنوان یک نوع حافظه جایگزین با یک فایل جدید عوض میکند؛ اما محققان دریافتند که سیستم بهطور خاص آن مورد جدید را تأیید نمیکند؛ در نتیجه، یک مهاجم میتواند لینکهای استراتژیکی به سیستم وارد کند که درایور را به جایگزینی فایل اشتباه یا حتی اجرای کد مخرب هدایت میکند.
از آنجایی که Windows Defender بهصورت پیشفرض روی همه سیستمهای ویندوز نصب میشود و در صدها میلیون رایانه و سرور سراسر جهان وجود دارد، وجود چنین باگی میتوانست برای مهاجمان بسیار مفید باشد. این آنتی ویروس بسیار در بین کاربران و توسعهدهندگان مورد اعتماد است و کسی فکر نمیکرد چنین نقصی در آن وجود داشته باشد. این آسیبپذیری به قدری خطرناک بود که افراد سودجو میتوانستند به وسیلهی آن نرمافزار یا دادههای مهم را حذف کنند یا حتی به درایور دستور بدهند که کد شخصی آنها را برای تصاحب کامل دستگاه اجرا کند. بهطور کلی این مسیر میتوانست برای دستگاههای بسیاری در سراسر جهان خطرناک باشد.
مقالههای مرتبط:
SentinelOne در اواسط ماه نوامبر ۲۰۲۰ برای اولین بار این اشکال را به مایکروسافت گزارش کرد و روز سهشنبه گذشته پچ امنیتی برای رفع این باگ منتشر شد. مایکروسافت این آسیبپذیری را بهعنوان یک گزینه با خطر بالا ارزیابی کرده است و هشدارهای مهمی دربارهی آن وجود دارد. البته این نقص امنیتی تنها زمانی میتواند مورد سوء استفاده قرار بگیرد که مهاجم از راه دور یا فیزیکی به دستگاه مدنظر دسترسی داشته باشد. این بدان معنا است که هکرها نمیتوانند تنها با استفاده از این باگ وارد سیستم شوند و این سودجویان مانند بسیاری از سناریوهای دیگر به موارد بیشتری برای رسیدن به اهداف شوم خود نیاز دارند؛ اما باز هم این وجود چنین نقصی برای هکرها جذاب است.
مایکروسافت و SentinelOne اعلام کردهاند که هیچ شواهدی مبنی بر سوء استفاده از این نقص امنیتی وجود ندارد و بررسیهای انجامشده هیچ حملهای از این طریق را نشان نمیدهد. SentinelOne هنوز اطلاعاتی دربارهی اینکه مهاجمان چگونه میتوانند از این باگ سوء استفاده کنند منتشر نکرده است. البته دلیل این کار شرکت امنیتی مذکور کاملا مشخص است؛ زیرا اکنون یافتهها علنی شده و کافی است هکرها بدانند از چه روشهایی میتوانند به سیستمها نفوذ کنند؛ پس بهتر است اطلاعات بیشتری در اختیار آنها قرار نگیرد.
سخنگوی مایکروسافت دربارهی امنیت کاربران میگوید:
هرکسی که پچ ۹ فوریه را نصب یا بهروزرسانی خودکار را فعال کند، سیستم خود را برابر این آسیبپذیری محافظت کرده است.
در دنیای فناوری که سیستمعامل یکی از مهمترین فاکتورهای هر سیستم است، دوازده سال برای پنهان ماندن یک آسیبپذیری امنیتی واقعا زمان بسیار زیادی است. محققان میگویند ممکن است زمان اصلی بیشتر از این باشد؛ زیرا بررسی آنها محدود به مدت زمانی است که ابزار VirusTotal اطلاعات محصولات آنتی ویروس را ذخیره میکند و در سال ۲۰۰۹ ویندوز ویستا با ویندوز ۷ بهعنوان نسخه فعلی مایکروسافت جایگزین شد؛ در نتیجه تنها ۱۲ سال اطلاعات راجع به این موضوع در دسترس است.
هنوز کسی دلیل پنهان ماندن طولانیمدت این باگ را متوجه نشده؛ اما حدسهایی مطرح شده است. محققان میگویند از آنجایی که درایور آسیبپذیر مانند درایورهای دیگر (برای مثال چاپگر) بهصورت تمام وقت در هارددیسک کامپیوتر ذخیره نمیشود، توانسته است برای مدتزمان طولانی پنهان بماند. در عوض، این درایور در یک فولدر سیستمی ویندوز به نام «dynamic-link library» قرار دارد و Windows Defender فقط در صورت لزوم آن را بارگیری میکند. پس از پایان کار درایور، دوباره از هارددیسک پاک میشود در نتیجه اطلاعات زیادی از آن در سیستم باقی نمیماند.
سخنگوی SentinelOne میگوید:
تیم تحقیقاتی ما متوجه شد این درایور بهصورت پویا بارگیری و سپس در صورت عدم نیاز پاک میشود؛ این یک رفتار معمول نیست. بنابراین ما آن را بررسی کردیم. آسیبپذیریهای مشابهی ممکن است در سایر محصولات وجود داشته باشد و با افشای این موضوع، به دیگران در حفظ امنیت کمک خواهیم کرد.
برخی مواقع مشکلات و آسیبپذیریهای امنیتی برای مدتزمان زیادی در یک سیستم میمانند و کسی از وجود آنها خبردار نمیشود. تاکنون این اتفاق چندین بار رخ داده است؛ زیرا توسعهدهندگان و محققان امنیتی نمیتوانند همیشه همهی جوانب را بررسی کنند. بهعنوان مثال، در ماه جولای مایکروسافت یک آسیب پذیری خطرناک ۱۷ ساله در Windows DNS ویندوز را با انتشار پچ امنیتی اصلاح کرد.
نظر شما کاربران زومیت دربارهی اینگونه مشکلات امنیتی که برای مدتزمان زیادی مخفی میمانند چیست؟