اگر شما هم صاحب رایانه یا قطعه سخت افزاری هستید که محصول شرکت ASUS، Toshiba، Intel، NVIDIA، Huawei و یا ۱۵ شرکتی که در زیر فهرست شدهاند (تقریباً همه رایانهها)، در معرض خطر هستید!
گروهی از محققان امنیتی در بیش از ۴۰ درایور مربوط به حداقل ۲۰ برند مختلف، آسیبپذیریهای امنیتی پرخطر کشف کردهاند که میتواند به مهاجمان اجازه دهد تا با بیشترین سطح دسترسی به سیستم متصل شوند و بدافزارها را به شکلی مخفی کنند که باگذشت زمان، حتی گاهی سالها قابلردیابی نباشند.
درایور، نرمافزاری است که یک سخت افزار بهخصوص را کنترل میکند تا بتواند بهدرستی با سیستمعامل ارتباط برقرار کند. تولیدکنندگان سخت افزار موظف هستند تا برای عملکرد بهتر سخت افزار برای هر سیستمعامل درایور آن سخت افزار را تهیه و به همراه سخت افزار ارائه کنند.
ازآنجاکه درایورها ارتباطدهنده میان سخت افزار و سیستمعامل هستند، در بیشتر مواقع دسترسی سطح بالا به هسته سیستمعامل دارند. ازاینرو، یک ضعف امنیتی در درایورها، میتواند منجر به اجرای کد با دسترسیهای هسته سیستمعامل شود.
این حملهی “ارتقاء سطح دسترسی” میتواند به یک مهاجم اجازه دهد تا سطح دسترسی خود را از حالت کاربر (حلقه ۳) به حالت هسته سیستمعامل (حلقه ۰) افزایش دهد و از این طریق یک درپشتی (backdoor) دائمی بر روی سیستم نصب کند، که احتمالاً هیچگاه توسط یک کاربر قابلردیابی نخواهد بود.
محققان شرکت امنیتی Eclypsium، آسیبپذیریهای جدیدی کشف کردند که اجازه خواندن از و یا نوشتن بر حافظه هسته سیستمعامل، ثباتهای خاص مدل (Model-Specific Register)، ثباتهای کنترل (Control Register)، ثباتهای اشکالزدایی (Debug Register) و حافظه فیزیکی (Ram) را میدهند.
محققان در گزارشهای خود بیان میکنند:
همه این آسیبپذیریها به درایور اجازه میدهند تا بهعنوان یک پروکسی عمل کرده و به منابع سخت افزاری، دسترسیهای سطح بالا اعطا کند؛ درنتیجه یک مهاجم میتواند همین ابزارهای کنترل سیستم را تبدیل به تهدیدهای قدرتمندی علیه سیستم کند که میتوانند با ارتقاء سطح دسترسی، بهطور نامرئی همیشه در سیستم باقی بمانند. دسترسی به هسته سیستمعامل نهتنها میتواند به مهاجمان بیشترین سطح دسترسی به سیستمعامل را بدهد، بلکه میتواند به آنها سطوح دسترسی حتی بیشتری مانند BIOS سیستم، بدهد.
ازآنجاکه بدافزاری که در محیط کاربر اجرا میشود، بهسادگی میتواند به جستجوی یک درایور آسیبپذیر برای سوءاستفاده از آن بپرداز، مهاجمان نیازی به نصب درایور آسیبپذیر را ندارند.
همهی درایورهای آسیبپذیر کشفشده توسط محققان که در زیر فهرست شدهاند و توسط شرکت مایکروسافت مجدداً تائید شدهاند:
- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
این فهرست همچنین شامل سه برند سخت افزاری دیگر است که محققان هنوز نامی از آنها نبردهاند، زیرا آنها به دلیل کار در محیطهای بسیار کنترلشده هنوز تحت حفاظت قرار دارند و صرف زمان بیشتری برای تائید و استقرار بر روی رایانههای مشتریان، به طول خواهد انجامید.
محققان توضیح میدهند:
برخی از درایورهای آسیبپذیر با کارتهای گرافیکی، کارتهای شبکه، دیسک سخت و سایر دستگاهها در تعامل هستند.بدافزارهای داخل این قطعات میتوانند دادههای ذخیرهشده، نمایش دادهشده یا ارسالشده از طریق شبکه را بخوانند، بنویسند و یا تغییر مسیر دهند. همچنین، مهاجمان میتوانند برای از کار انداختن سیستم قربانی (حمله DoS) و یا باجخواهی، هریک از این قطعات را غیرفعال کنند
نقص در درایورها میتواند خطرناکتر از سایر آسیبپذیریهای نرمافزاری باشد، زیرا به مهاجمین اجازه میدهد تا به حلقههای “منفی” سیستم که در زیر سیستمعامل قرار دارد دسترسی داشته باشند و در دستگاه بهصورت دائمی باقی بمانند، حتی اگر سیستمعامل کاملاً نصب مجدد شود، مانند بدافزار LoJax.
محققان به برندهایی ازجمله Huawei و Intel گزارش این آسیبپذیریها را دادهاند و آنها نیز هماکنون بیانیه و وصلههای امنیتی مربوطه را منتشر کردهاند. علاوه بر این، محققان همچنین قول دادهاند بهزودی اسکریپتی را در GitHub منتشر کنند که به کاربران کمک میکند درایورهای کرمچاله نصبشده روی سیستمهای خود را پیدا کنند.
مطالب مرتبط:
وصله امنیتی مهم درایور NVIDIA
آپدیت تجمعی ویندوز منتشر شد
مایکروسافت وصلههای امنیتی را برای ١۶ نقص بحرانی، ازجمله یک آسیبپذیری روز صفر منتشر کرد
منبع: The Hacker News
