كدی كه مكانيزم راه‌اندازی امن ويندوز 8 را دور می‌زند

شماره: IRCNE2013081911
تاريخ: 12/05/92

به گفته يك گروه از محققان امنيتي، مكانيزم راه‌اندازي امن در ويندوز 8 در رايانه‌هاي برخي از توليد كنندگان مي‌تواند دور زده شود، چراكه اشتباهاتي در نحوه پياده‌سازي UEFI در اين توليد كنندگان وجود دارد.
سه محقق امنيتي روز چهارشنبه در كنفرانس Black Hat در لاس وگاس، دو حمله را به نمايش گذاشتند كه براي نصب يك بوت‌كيت بر روي سيستم‌هاي تحت تأثير، راه‌اندازي امن را دور مي‌زند.
راه‌اندازي امن يك ويژگي UEFI است كه صرفاً به آن دسته از اجزاي نرم‌افزار كه داراي امضاهاي ديجيتالي مورد اعتماد هستند اجازه مي‌دهد كه در طول بازه زماني راه‌اندازي بارگذاري گردند. اين ويژگي به طور خاص براي جلوگيري از سوء استفاده بدافزارهايي مانند بوت‌كيت‌ها از فرآيند راه‌اندازي طراحي شده است.
به گفته اين محققان، اين سوء استفاده نه به علت آسيب‌پذيري‌هاي راه‌‌اندازي امن، بلكه به دليل خطاهاي پياده‌سازي توسط توليد كنندگان پلتفورم ممكن مي‌گردد.
به گفته يكي از اين محققين كه در مك‌آفي كار مي‌كند، نخستين كد سوء استفاده كننده به اين علت كار مي‌كند كه توليد كنندگان به طور مناسب از سفت‌افزار خود محافظت نكرده و به مهاجم اجازه مي‌دهند كد مسئول راه‌اندازي امن را تغيير دهند.
اين كد سوء استفاده كننده طوري طراحي شده است كه كليد پلتفورم را تغيير دهد (كليد اصلي در هسته بررسي كننده تمامي امضاهاي راه‌اندازي امن)، ولي براي اينكه اين كد كار كند بايد در مود هسته (kernel) يعني بيشترين حق دسترسي سيستم عامل اجرا گردد.
اين مسأله به نحوي حمله را محدود مي‌كند، چراكه مهاجم راه دور بايد ابتدا راهي براي اجراي كد در مود هسته در سيستم‌‌‌‌‌‌ هدف بيابد.
اين محققان كد سوء استفاده كننده مود هسته خود را بر روي يك لپ‌تاپ Asus VivoBook Q200E نمايش دادند، ولي برخي مادربردهاي رايانه‌هاي دسكتاپ ايسوس نيز تحت تأثير اين مشكل قرار دارند.
به گفته يكي از اين محققين، ايسوس به‌روز رساني‌هايي براي برخي مادربردهاي خود ارائه داده است كه لپ‌تاپ VivoBook را شامل نمي‌شود و ممكن است مدل‌هاي VivoBook آسيب‌پذير باشند.
ايسوس در اين مورد توضيحي نداده است.
كد سوء استفاده كننده دوم كه توسط اين محققين نمايش داده شد مي‌تواند در مود كاربر اجرا گردد، اين بدان معناست كه كافي است مهاجم با سوء استفاده از يك آسيب‌پذيري در برنامه معمولي مانند جاوا، ادوب فلش، مايكروسافت آفيس و يا برنامه‌هاي ديگر، به حق اجراي كد دست يابد.
اين محققان از افشاي جزئيات فني اين كد سوء استفاده يا معرفي توليد كنندگاني كه محصولات آنها آسيب‌پذير است خودداري كردند، چراكه آسيب‌پذيري هدف اخيراً كشف شده است.
به گفته يكي از اين محققين، مسأله كد سوء استفاده مود هسته، بيش از يك سال قبل كشف شده و به اطلاع توليد كنندگان رسانده شده است و پس از گذشت اين مدت زمان، اطلاع رساني عمومي آن لازم است.