نقص جدید ویندوزی به مهاجمان اجازه نصب روت کیت می دهد

محققان امنیتی یک آسیب پذیری در جدول باینری ویندوز (Microsoft Windows Platform Binary Table) یافته‌اند که بر تمام ابزارهای مبتنی بر ویندوز به ویژه نسخه 8 به بعد تاثیر می‌گذارد. استفاده از این آسیب‌پذیری مهاجم را قادر به نصب روت کیت کرده و سیستم‌ها را در معرض خطر قرار می‌دهد.

این نقص در هر نوع از سیستم‌های ویندوزی به راحتی به مهاجم اجازه می‌دهد تا جداول ساختگی خود را به کار گیرد. این جداول میتوانند با دسترسی فیزیکی مستقیم، دسترسی از راه دور یا از طریق زنجیره منابع تامین کننده به کار گرفته شوند. مهم تر اینکه، اینگونه نقص‌های در سطح مادربورد می‌تواند به علت کاربرد مبهم ACPI (واسط قدرت و تنظیمات پیشرفته) و WPBT، بخش‌هایی چون Secured-one که به جهت حفاظت از سیستم به کارگرفته می‌شود را از کار بیاندازد.

WBPT در سال 2012 همراه با ویندوز 8 معرفی شد و جدولی را فعال کرد که موجب می‌شد firmware یک قالب باینری را برای ویندوز اجرا کند که سیستم عامل قابلیت اجرای آن را داشته باشد. به بیان دیگر، به تولیدکنندگان رایانه این امکان را می‌دهد تا درایورهای مشخص و یا نمونه‌های قابل حمل و قابل اجرا را که به عنوان جزوی از تصویر UEFI firmware ROM می‌باشند را با روشی به کار گیرند که در طول راه اندازی اولیه ویندوز و قبل از اجرای هرگونه کد سیستم عامل در حافظه فیزیکی بارگذاری شود.

هدف اصلی WPBT این است که اجازه دهد خصوصیات حیاتی چون نرم افزار ضد سرقت حتی در مواقعی که سیستم عامل (در اثر سرقت) تغییر کرده، فرمت شده و یا مجددا نصب شده باشد نیز به کار خود ادامه دهد. اما چنین امکانی را فراهم کردن موجب می‌شود که نرم افزار به طور نامحدودی به سیستم متصل باشد و به همین جهت نیز شرکت مایکروسافت از خطرات بالقوه‌ای صحبت کرده است که می‌تواند از عدم استفاده مناسب WPBT حاصل شود و منجر به استقرار روت کیت در سیستم ویندوزی شود. از آنجایی که این خصوصیت توانایی اجرای مداوم در سیستم را فراهم می‌کند، بنابراین ضروری است که راه حل‌های مبتنی بر WPBT در امن‌ترین حالت ممکن باشند و کاربران را در شرایط نفوذ قرار ندهند. مهم‌ترین موضوع اینجاست که نباید به هیچ عنوان چنین ابزاری به بدافزار آلوده باشد.

راهکارها

این آسیب‌پذیری به طور کامل به مهاجم کمک می‌کند تا با دور زدن نظارت‌های موجود، کدهای دلخواه خود را اجرا کرده و از هسته ویندوز برای رسیدن به مقاصد خود استفاده کند. در این راستا مایکروسافت توصیه کرده است که از پروتکل‌های برنامه‌های محافظ ویندوز ( Windows Defender Application Control) برای تعیین اینکه کدام باینری‌ها مجاز هستند تا بر روی سیستم اجرا شوند، استفاده کنید.

می‌توان این آسیب‌پذیری را به صورت بالقوه و از سوی مهاجمان قابل بهره‌برداری تلقی کرد (چه به صورت دسترسی فیزیکی، دسترسی از راه دور و یا از طریق زنجیره تامین) که تکنیک‌های زیادی نیز در آن به کار می‌رود ( مانند DMA و بوت لودرهای آلوده به بدافزار). سازمان‌ها باید این تهدید را شناخته و از روش‌های لایه بندی شده برای تامین امنیت تمام سیستم‌ها و بخش‌های خود استفاده کرده و هر نوع فعالیت بالقوه‌ای را شناسایی کنند.