اخبار

درایورهای سخت افزار که اجازه نصب Backdoor را به هکر می‌دهند!

اگر شما هم صاحب رایانه یا قطعه سخت افزاری هستید که محصول شرکت ASUS، Toshiba، Intel، NVIDIA، Huawei و یا ۱۵ شرکتی که در زیر فهرست شده‌اند (تقریباً همه رایانه‌ها)، در معرض خطر هستید!

گروهی از محققان امنیتی در بیش از ۴۰ درایور مربوط به حداقل ۲۰ برند مختلف، آسیب‌پذیری‌های امنیتی پرخطر کشف کرده‌اند که می‌تواند به مهاجمان اجازه دهد تا با بیشترین سطح دسترسی به سیستم متصل شوند و بدافزارها را به شکلی مخفی کنند که باگذشت زمان، حتی گاهی سال‌ها قابل‌ردیابی نباشند.

درایور، نرم‌افزاری است که یک سخت افزار به‌خصوص را کنترل می‌کند تا بتواند به‌درستی با سیستم‌عامل ارتباط برقرار کند. تولیدکنندگان سخت افزار موظف هستند تا برای عملکرد بهتر سخت افزار برای هر سیستم‌عامل درایور آن سخت افزار را تهیه و به همراه سخت افزار ارائه کنند.

ازآنجاکه درایورها ارتباط‌دهنده میان سخت افزار و سیستم‌عامل هستند، در بیشتر مواقع دسترسی سطح بالا به هسته سیستم‌عامل دارند. ازاین‌رو، یک ضعف امنیتی در درایورها، می‌تواند منجر به اجرای کد با دسترسی‌های هسته سیستم‌عامل شود.

این حمله‌ی “ارتقاء سطح دسترسی” می‌تواند به یک مهاجم اجازه دهد تا سطح دسترسی خود را از حالت کاربر (حلقه ۳) به حالت هسته سیستم‌عامل (حلقه ۰) افزایش دهد و از این طریق یک درپشتی (backdoor) دائمی بر روی سیستم نصب کند، که احتمالاً هیچ‌گاه توسط یک کاربر قابل‌ردیابی نخواهد بود.

سخت افزار حلقه های دسترسی

محققان شرکت امنیتی Eclypsium، آسیب‌پذیری‌های جدیدی کشف کردند که اجازه خواندن از و یا نوشتن بر حافظه هسته سیستم‌عامل، ثبات‌های خاص مدل (Model-Specific Register)، ثبات‌های کنترل (Control Register)، ثبات‌های اشکال‌زدایی (Debug Register) و حافظه فیزیکی (Ram) را می‌دهند.

محققان در گزارش‌های خود بیان می‌کنند:

همه این آسیب‌پذیری‌ها به درایور اجازه می‌دهند تا به‌عنوان یک پروکسی عمل کرده و به منابع سخت افزاری، دسترسی‌های سطح بالا اعطا کند؛ درنتیجه یک مهاجم می‌تواند همین ابزارهای کنترل سیستم را تبدیل به تهدیدهای قدرتمندی علیه سیستم کند که می‌توانند با ارتقاء سطح دسترسی، به‌طور نامرئی همیشه در سیستم باقی بمانند. دسترسی به هسته سیستم‌عامل نه‌تنها می‌تواند به مهاجمان بیشترین سطح دسترسی به سیستم‌عامل را بدهد، بلکه می‌تواند به آن‌ها سطوح دسترسی حتی بیشتری مانند BIOS سیستم، بدهد.

ازآنجاکه بدافزاری که در محیط کاربر اجرا می‌شود، به‌سادگی می‌تواند به جستجوی یک درایور آسیب‌پذیر برای سوءاستفاده از آن بپرداز، مهاجمان نیازی به نصب درایور آسیب‌پذیر را ندارند.

همه‌ی درایورهای آسیب‌پذیر کشف‌شده توسط محققان که در زیر فهرست شده‌اند و توسط شرکت مایکروسافت مجدداً تائید شده‌اند:

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • ATI Technologies (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

این فهرست همچنین شامل سه برند سخت افزاری دیگر است که محققان هنوز نامی از آن‌ها نبرده‌اند، زیرا آن‌ها به دلیل کار در محیط‌های بسیار کنترل‌شده هنوز تحت حفاظت قرار دارند و صرف زمان بیشتری برای تائید و استقرار بر روی رایانه‌های مشتریان، به طول خواهد انجامید.

محققان توضیح می‌دهند:

برخی از درایورهای آسیب‌پذیر با کارت‌های گرافیکی، کارت‌های شبکه، دیسک سخت و سایر دستگاه‌ها در تعامل هستند.بدافزارهای داخل این قطعات می‌توانند داده‌های ذخیره‌شده، نمایش داده‌شده یا ارسال‌شده از طریق شبکه را بخوانند، بنویسند و یا تغییر مسیر دهند. همچنین، مهاجمان می‌توانند برای از کار انداختن سیستم قربانی (حمله DoS) و یا باج‌خواهی، هریک از این قطعات را غیرفعال کنند

نقص در درایورها می‌تواند خطرناک‌تر از سایر آسیب‌پذیری‌های نرم‌افزاری باشد، زیرا به مهاجمین اجازه می‌دهد تا به حلقه‌های “منفی” سیستم که در زیر سیستم‌عامل قرار دارد دسترسی داشته باشند و در دستگاه به‌صورت دائمی باقی بمانند، حتی اگر سیستم‌عامل کاملاً نصب مجدد شود، مانند بدافزار LoJax.

محققان به برندهایی ازجمله Huawei و Intel گزارش این آسیب‌پذیری‌ها را داده‌اند و آن‌ها نیز هم‌اکنون بیانیه و وصله‌های امنیتی مربوطه را منتشر کرده‌اند. علاوه بر این، محققان همچنین قول داده‌اند به‌زودی اسکریپتی را در GitHub منتشر کنند که به کاربران کمک می‌کند درایورهای کرم‌چاله نصب‌شده روی سیستم‌های خود را پیدا کنند.

مطالب مرتبط:
وصله امنیتی مهم درایور NVIDIA
آپدیت تجمعی ویندوز منتشر شد
مایکروسافت وصله‌های امنیتی را برای ١۶ نقص بحرانی، ازجمله یک آسیب‌پذیری روز صفر منتشر کرد

منبع: The Hacker News

درایورهای سخت افزار که اجازه نصب Backdoor را به هکر می‌دهند!

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top