كيف فتح خطأ Microsoft الملايين من أجهزة الكمبيوتر لهجمات البرامج الضارة القوية
كيف فتح خطأ Microsoft الملايين من أجهزة الكمبيوتر لهجمات البرامج الضارة القوية
توسيع
صور جيتي
على مدار ما يقرب من عامين ، أخطأ مسؤولو Microsoft في دفاع Windows الرئيسي ، وهو فشل غير مبرر ترك العملاء عرضة لتقنية الإصابة بالبرامج الضارة التي أثبتت فعاليتها بشكل خاص في الأشهر الأخيرة.
ادعى مسؤولو Microsoft بشدة أن Windows Update سيضيف تلقائيًا برامج تشغيل برامج جديدة إلى قائمة الحظر المصممة لإحباط خدعة معروفة في دليل الإصابة بالبرامج الضارة. تسمح تقنية البرامج الضارة ، المعروفة باسم BYOVD ، باختصار "إحضار برنامج التشغيل الضعيف الخاص بك" ، للمهاجم الذي يتمتع بالتحكم الإداري بتجاوز حماية Windows kernel بسهولة. بدلاً من كتابة برمجيات إكسبلويت من الصفر ، يقوم المهاجم ببساطة بتثبيت واحد من عشرات برامج تشغيل الطرف الثالث ذات الثغرات الأمنية المعروفة. ثم يستغل المهاجم هذه الثغرات الأمنية للوصول الفوري إلى بعض أكثر مناطق Windows تحصينًا.
ومع ذلك ، اتضح أن Windows لم يكن ينزل ويطبق تحديثات قائمة حظر برامج التشغيل بشكل صحيح ، مما يترك المستخدمين عرضة لهجمات BYOVD الجديدة.
مع نمو الهجمات ، تتضاءل إجراءات Microsoft المضادة
تسمح برامج التشغيل عادةً لأجهزة الكمبيوتر بالعمل مع الطابعات أو الكاميرات أو الأجهزة الطرفية الأخرى ، أو لتنفيذ إجراءات أخرى مثل توفير تحليلات حول تشغيل أجهزة الكمبيوتر. لكي يعمل العديد من السائقين ، يحتاجون إلى خط أنابيب مباشر إلى النواة ، قلب نظام التشغيل حيث يوجد الرمز الأكثر حساسية. لهذا السبب ، تعمل Microsoft على تقوية النواة بشدة وتتطلب توقيع جميع برامج التشغيل رقميًا بشهادة تتحقق من أنها قد تم فحصها وأنها تأتي من مصدر موثوق.
ومع ذلك ، فإن برامج التشغيل الشرعية تحتوي أحيانًا على ثغرات أمنية تتعلق بفساد الذاكرة أو عيوب خطيرة أخرى ، والتي ، عند استغلالها ، تسمح للقراصنة بنقل شفراتهم الضارة مباشرة إلى النواة. حتى بعد إصلاح أحد المطورين للثغرة الأمنية ، تظل برامج تشغيل عربات التي تجرها الدواب القديمة مرشحين رئيسيين لهجمات BYOVD لأنها موقعة بالفعل. من خلال إضافة هذا النوع من برامج التشغيل إلى تدفق تنفيذ هجوم البرامج الضارة ، يمكن للقراصنة توفير أسابيع من التطوير والاختبار.
لقد كان BYOVD جزءًا من الحياة لمدة عقد على الأقل. استخدمت البرامج الضارة التي يطلق عليها اسم "Slingshot" BYOVD منذ عام 2012 على الأقل ، ومن بين المشاركين الأوائل في مشهد BYOVD LoJax و InvisiMole و RobbinHood.
على مدار العامين الماضيين ، شهدنا موجة من هجمات BYOVD الجديدة. ونفذت جماعة لازاروس المدعومة من الحكومة الكورية الشمالية أحد هذه الهجمات أواخر العام الماضي. لقد استخدم سائق Dell الذي تم تسريحه من الخدمة مع وجود ثغرة أمنية شديدة الخطورة لاستهداف موظف بشركة طيران في هولندا وصحفي سياسي في بلجيكا.
في هجوم BYOVD منفصل قبل بضعة أشهر ، قام مجرمو الإنترنت بتثبيت BlackByte ransomware من خلال تثبيت ثم استغلال برنامج تشغيل عربات التي تجرها الدواب لـ Micro-Star's MSI AfterBurner 4.6.2.15658 ، وهي أداة مساعدة لرفع تردد تشغيل بطاقة الرسومات المستخدمة على نطاق واسع.
في تموز (يوليو) ، قامت مجموعة تهديدات من برامج الفدية بتثبيت برنامج التشغيل mhyprot2.sys ، وهو برنامج قديم لمكافحة الغش تستخدمه لعبة Genshin Impact— ذات الشعبية الكبيرة في الهجمات المستهدفة التي استغلت لاحقًا تنفيذ التعليمات البرمجية. ثغرة أمنية في السائق لمزيد من اختراق Windows.
على مدار ما يقرب من عامين ، أخطأ مسؤولو Microsoft في دفاع Windows الرئيسي ، وهو فشل غير مبرر ترك العملاء عرضة لتقنية الإصابة بالبرامج الضارة التي أثبتت فعاليتها بشكل خاص في الأشهر الأخيرة.
ادعى مسؤولو Microsoft بشدة أن Windows Update سيضيف تلقائيًا برامج تشغيل برامج جديدة إلى قائمة الحظر المصممة لإحباط خدعة معروفة في دليل الإصابة بالبرامج الضارة. تسمح تقنية البرامج الضارة ، المعروفة باسم BYOVD ، باختصار "إحضار برنامج التشغيل الضعيف الخاص بك" ، للمهاجم الذي يتمتع بالتحكم الإداري بتجاوز حماية Windows kernel بسهولة. بدلاً من كتابة برمجيات إكسبلويت من الصفر ، يقوم المهاجم ببساطة بتثبيت واحد من عشرات برامج تشغيل الطرف الثالث ذات الثغرات الأمنية المعروفة. ثم يستغل المهاجم هذه الثغرات الأمنية للوصول الفوري إلى بعض أكثر مناطق Windows تحصينًا.
ومع ذلك ، اتضح أن Windows لم يكن ينزل ويطبق تحديثات قائمة حظر برامج التشغيل بشكل صحيح ، مما يترك المستخدمين عرضة لهجمات BYOVD الجديدة.
مع نمو الهجمات ، تتضاءل إجراءات Microsoft المضادة
تسمح برامج التشغيل عادةً لأجهزة الكمبيوتر بالعمل مع الطابعات أو الكاميرات أو الأجهزة الطرفية الأخرى ، أو لتنفيذ إجراءات أخرى مثل توفير تحليلات حول تشغيل أجهزة الكمبيوتر. لكي يعمل العديد من السائقين ، يحتاجون إلى خط أنابيب مباشر إلى النواة ، قلب نظام التشغيل حيث يوجد الرمز الأكثر حساسية. لهذا السبب ، تعمل Microsoft على تقوية النواة بشدة وتتطلب توقيع جميع برامج التشغيل رقميًا بشهادة تتحقق من أنها قد تم فحصها وأنها تأتي من مصدر موثوق.
ومع ذلك ، فإن برامج التشغيل الشرعية تحتوي أحيانًا على ثغرات أمنية تتعلق بفساد الذاكرة أو عيوب خطيرة أخرى ، والتي ، عند استغلالها ، تسمح للقراصنة بنقل شفراتهم الضارة مباشرة إلى النواة. حتى بعد إصلاح أحد المطورين للثغرة الأمنية ، تظل برامج تشغيل عربات التي تجرها الدواب القديمة مرشحين رئيسيين لهجمات BYOVD لأنها موقعة بالفعل. من خلال إضافة هذا النوع من برامج التشغيل إلى تدفق تنفيذ هجوم البرامج الضارة ، يمكن للقراصنة توفير أسابيع من التطوير والاختبار.
لقد كان BYOVD جزءًا من الحياة لمدة عقد على الأقل. استخدمت البرامج الضارة التي يطلق عليها اسم "Slingshot" BYOVD منذ عام 2012 على الأقل ، ومن بين المشاركين الأوائل في مشهد BYOVD LoJax و InvisiMole و RobbinHood.
على مدار العامين الماضيين ، شهدنا موجة من هجمات BYOVD الجديدة. ونفذت جماعة لازاروس المدعومة من الحكومة الكورية الشمالية أحد هذه الهجمات أواخر العام الماضي. لقد استخدم سائق Dell الذي تم تسريحه من الخدمة مع وجود ثغرة أمنية شديدة الخطورة لاستهداف موظف بشركة طيران في هولندا وصحفي سياسي في بلجيكا.
في هجوم BYOVD منفصل قبل بضعة أشهر ، قام مجرمو الإنترنت بتثبيت BlackByte ransomware من خلال تثبيت ثم استغلال برنامج تشغيل عربات التي تجرها الدواب لـ Micro-Star's MSI AfterBurner 4.6.2.15658 ، وهي أداة مساعدة لرفع تردد تشغيل بطاقة الرسومات المستخدمة على نطاق واسع.
في تموز (يوليو) ، قامت مجموعة تهديدات من برامج الفدية بتثبيت برنامج التشغيل mhyprot2.sys ، وهو برنامج قديم لمكافحة الغش تستخدمه لعبة Genshin Impact— ذات الشعبية الكبيرة في الهجمات المستهدفة التي استغلت لاحقًا تنفيذ التعليمات البرمجية. ثغرة أمنية في السائق لمزيد من اختراق Windows.
توسيع
صور جيتي
