الرئيسية / أخبار تقنية / أكثر من 40 من برامج التشغيل قد تسمح للمهاجمين بتثبيت Backdoor الدائم على أجهزة الكمبيوتر التي تعمل بنظام ويندوز

أكثر من 40 من برامج التشغيل قد تسمح للمهاجمين بتثبيت Backdoor الدائم على أجهزة الكمبيوتر التي تعمل بنظام ويندوز

إذا كنت تملك جهازًا أو مكونًا من مكونات الجهاز تم تصنيعه بواسطة ASUS أو Toshiba أو Intel أو NVIDIA أو Huawei أو 15 من البائعين الآخرين المدرجين أدناه فمن المحتمل أن تكون مثبتًا لديك.

اكتشف فريق من الباحثين في مجال الأمن ثغرات أمنية عالية الخطورة في أكثر من 40 سائقًا من 20 بائعًا مختلفًا على الأقل مما قد يسمح للمهاجمين بالحصول على معظم الإذن المتميز على النظام وإخفاء البرامج الضارة بطريقة ما لم يتم اكتشافها بمرور الوقت وأحيانًا لسنوات.

بالنسبة للمهاجمين المتقدمين تعد المحافظة على الثبات بعد اختراق النظام أحد أهم المهام ولتحقيق ذلك تلعب نقاط ضعف الأجهزة الموجودة أحيانًا دورًا مهمًا.

أحد هذه المكونات هو برنامج تشغيل الجهاز المعروف باسم برنامج التشغيل أو برنامج تشغيل الأجهزة وهو برنامج يتحكم في نوع معين من الأجهزة مما يساعده على الاتصال بنظام التشغيل الخاص بالكمبيوتر بشكل صحيح.

نظرًا لأن برامج تشغيل الأجهزة تقع بين الجهاز ونظام التشغيل نفسه وفي معظم الحالات تتمتع بميزة الوصول المميز إلى kernel OS يمكن أن يؤدي الضعف الأمني ​​في هذا المكون إلى تنفيذ التعليمات البرمجية في طبقة kernel.

ويمكن أن يؤدي هجوم تصعيد الامتياز هذا إلى نقل أحد المهاجمين من وضع المستخدم (الحلقة 3) إلى وضع kernel و وضع التشغيل (Ring 0) كما هو موضح في الصورة مما يسمح له بتثبيت مستتر خلفي ثابت في النظام ربما لن يدركه المستخدم أبدًا.

اكتشفه الباحثون في شركة أمن البرامج الثابتة والأجهزة Eclypsium قد تسمح بعض الثغرات الجديدة بقراءة / كتابة تعسفية لذاكرة kernel وسجلات خاصة بالطراز (MSR) وسجلات التحكم (CR) ، Debug Registers (DR) والذاكرة الفعلية.

“كل هذه الثغرات الأمنية تسمح للسائق بالعمل كوكلاء للقيام بوصول متميز للغاية إلى موارد الأجهزة مما قد يسمح للمهاجمين بتحويل الأدوات ذاتها المستخدمة لإدارة النظام إلى تهديدات قوية يمكنها تصعيد الامتيازات والاستمرار بشكل غير مرئي على المضيف “يشرح الباحثون في تقريرهم المعنون” السائقون المشدودون “.

“لا يمكن الوصول إلى kernel فقط للمهاجمين الوصول الأكثر امتيازًا المتاح لنظام التشغيل بل يمكنه أيضًا منح إمكانية الوصول إلى واجهات الأجهزة والبرامج الثابتة بامتيازات أعلى مثل البرامج الثابتة لنظام BIOS.”

نظرًا لأن البرامج الضارة التي تعمل في مساحة المستخدم يمكنها ببساطة البحث عن برنامج تشغيل ضعيف على الجهاز الضحية من أجل اختراقه ولا يتعين على المهاجمين تثبيت برنامج التشغيل الضعيف الخاص بهم مما يتطلب تثبيتًا يتطلب امتيازات مسؤول النظام.

تم اعتماد جميع برامج التشغيل الضعيفة كما هو موضح أدناه والتي كشف عنها الباحثون بواسطة مايكروسوفت.

• American Megatrends International (AMI)

• ASRock

• ASUSTeK Computer

• ATI Technologies (AMD)

• Biostar

• EVGA

• Getac

• GIGABYTE

• Huawei

• Insyde

• Intel

• Micro-Star International (MSI)

• NVIDIA

• Phoenix Technologies

• Realtek Semiconductor

• SuperMicro

• Toshiba

• Intel

• Micro-Star International (MSI)

• NVIDIA

• Phoenix Technologies

• Realtek Semiconductor

• SuperMicro

• Toshiba

تضم القائمة ايضًا ثلاثة بائعي أجهزة آخرين لم يذكرهم الباحثون حتى الآن لأنهم “ما زالوا تحت الحصار بسبب عملهم في بيئات شديدة التنظيم وسيستغرقون وقتًا أطول للحصول على شهادة إصلاح وجاهزة للنشر للعملاء.”

 “يتفاعل بعض السائقين الضعفاء مع بطاقات الرسومات ومحولات الشبكة والأقراص الصلبة وغيرها من الأجهزة ،” يوضح الباحثون.  “يمكن للبرامج الضارة المستمرة داخل هذه الأجهزة قراءة البيانات المخزنة أو عرضها أو إرسالها عبر الشبكة أو كتابتها أو إعادة توجيهها وبالمثل يمكن تعطيل أي من المكونات كجزء من هجوم DoS أو Ransomware.”

قد تكون عيوب برنامج تشغيل الجهاز أكثر خطورة من ثغرات أمنية أخرى في التطبيقات لأنها تسمح للمهاجمين بالوصول إلى حلقات البرامج الثابتة “السلبية” الموجودة أسفل نظام التشغيل والحفاظ على الثبات على الجهاز حتى لو تم إعادة تثبيت نظام التشغيل بالكامل تمامًا كما في حالة  من البرامج الخبيثة LoJax.

أبلغ الباحثون عن نقاط الضعف هذه للبائعين المتأثرين وقد أصدر بعضهم بالفعل بما في ذلك Intel و Huawei تحديثات للإصلاح وأصدروا مشورة أمنية.

إلى جانب ذلك وعد الباحثون بإصدار برنامج نصي على GitHub قريبًا يساعد المستخدمين في العثور على برامج تشغيل الدودة المثبّتة على أنظمتهم جنبًا إلى جنب مع رمز إثبات المفهوم وعروض الفيديو وروابط لبرامج التشغيل والأدوات المستضعفة.

عن فدوى

شاهد أيضاً

ثغرة أمنية في منتجات كاسبرسكي تعرض مستخدميها افتراضيًا للتتبع عبر الإنترنت

في هذا العصر الرقمي ينجح نجاح كل شركة تسويق وإعلان وتحليلات تقريبًا من خلال تتبع …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *