انتشار شده در تاریخ 1392/05/28 - 23:31

كدی كه مكانیزم راه‌اندازی امن ویندوز 8 را دور می‌زند

به گفته یك گروه از محققان امنیتی، مكانیزم راه‌اندازی امن در ویندوز 8 می تواند دور زده شود، زیرا اشتباهاتی در نحوه پیاده‌سازی UEFI وجود دارد.

به گزارش رصدبان موسسه سایبربان: به گفته یك گروه از محققان امنیتی، مكانیزم راه‌اندازی امن در ویندوز 8 می تواند دور زده شود، زیرا اشتباهاتی در نحوه پیاده‌سازی UEFI وجود دارد. این محققان امنیتی دو حمله را به نمایش گذاشتند كه برای نصب یك بوت‌كیت بر روی سیستم‌های تحت تأثیر، راه‌اندازی امن را دور می‌زند.
راه‌اندازی امن یك ویژگی UEFI است كه صرفاً به آن دسته از اجزای نرم‌افزار كه دارای امضاهای دیجیتالی مورد اعتماد هستند اجازه می‌دهد كه در طول بازه زمانی راه‌اندازی بارگذاری گردند. این ویژگی به طور خاص برای جلوگیری از سوء استفاده بدافزارهایی مانند بوت‌كیت‌ها از فرآیند راه‌اندازی طراحی شده است.
به گفته این محققان، این سوء استفاده نه به علت آسیب‌پذیری‌های راه‌‌اندازی امن، بلكه به دلیل خطاهای پیاده‌سازی توسط تولید كنندگان پلتفورم ممكن می‌گردد.
به گفته یكی از این محققین كه در مك‌آفی كار می‌كند، نخستین كد سوء استفاده كننده به این علت كار می‌كند كه تولید كنندگان به طور مناسب از سفت‌افزار خود محافظت نكرده و به مهاجم اجازه می‌دهند كد مسئول راه‌اندازی امن را تغییر دهند.
این كد سوء استفاده كننده طوری طراحی شده است كه كلید پلتفورم را تغییر دهد (كلید اصلی در هسته بررسی كننده تمامی امضاهای راه‌اندازی امن)، ولی برای اینكه این كد كار كند باید در مود هسته (kernel) یعنی بیشترین حق دسترسی سیستم عامل اجرا گردد.
این مسأله به نحوی حمله را محدود می‌كند، چراكه مهاجم راه دور باید ابتدا راهی برای اجرای كد در مود هسته در سیستم‌‌‌‌‌‌ هدف بیابد.
این محققان كد سوء استفاده كننده مود هسته خود را بر روی یك لپ‌تاپ Asus VivoBook Q200E نمایش دادند، ولی برخی مادربردهای رایانه‌های دسكتاپ ایسوس نیز تحت تأثیر این مشكل قرار دارند.
به گفته یكی از این محققین، ایسوس به‌روز رسانی‌هایی برای برخی مادربردهای خود ارائه داده است كه لپ‌تاپ VivoBook را شامل نمی‌شود و ممكن است مدل‌های VivoBook آسیب‌پذیر باشند.ایسوس در این مورد توضیحی نداده است.
كد سوء استفاده كننده دوم كه توسط این محققین نمایش داده شد می‌تواند در مود كاربر اجرا گردد، این بدان معناست كه كافی است مهاجم با سوء استفاده از یك آسیب‌پذیری در برنامه معمولی مانند جاوا، ادوب فلش، مایكروسافت آفیس و یا برنامه‌های دیگر، به حق اجرای كد دست یابد.
این محققان از افشای جزئیات فنی این كد سوء استفاده یا معرفی تولید كنندگانی كه محصولات آنها آسیب‌پذیر است خودداری كردند، چراكه آسیب‌پذیری هدف اخیراً كشف شده است.
به گفته یكی از این محققین، مسأله كد سوء استفاده مود هسته، بیش از یك سال قبل كشف شده و به اطلاع تولید كنندگان رسانده شده است و پس از گذشت این مدت زمان، اطلاع رسانی عمومی آن لازم است.