قابلیت حفاظت از باج‌افزار ویندوز ۱۰ به آسانی دور زده می‌شود

یک پژوهش‌گر امنیتی به نام  Yago Jesus ادعا می‌کند، قابلیت ضد باج‌افزاری که مایکروسافت در به‌روزرسانی Creators پاییزه‌ی ویندوز ۱۰ معرفی کرده است، به آسانی قابل دور زدن است.

این قابلیت ضد باج‌افزار که دسترسی کنترل‌شده به پوشه (Controlled folder access) نام دارد و به عنوان بخشی از قابلیت امنیتی جدید ویندوز به نام Windows Defender Exploit Guard معرفی شده است،مجموعه‌ای جدید از قابلیت‌های پیش‌گیری از نفوذ به میزبان در آخرین به‌روزرسانی مایکروسافت در این بستر است.

مایکروسافت در زمان معرفی این قابلیت، آن را به عنوان یک لایه‌ی حفاظتی به صورت بلادرنگ معرفی کرد که به کاربران اجازه می‌دهد تا با تعریف این‌که چه برنامه‌هایی می‌توانند به پرونده‌های خاصی دسترسی داشته باشند، از دسترسی باج‌افزارها به داده‌های خود جلوگیری کنند. بنابراین، بدافزار و دیگر برنامه‌های غیرمجاز نمی‌توانند به پرونده‌های موجود در این فهرست دسترسی داشته باشند.

 

به گفته‌ی این پژوهش‌گر، به راحتی می‌توان با استفاده از یک برنامه‌ی مجاز مانند آفیس این راه‌کار حفاظتی جدید را دور زد و به داده‌ها دسترسی پیدا کرد.

این کار امکان‌پذیر است، چرا که برنامه‌ی آفیس به طور پیش‌فرض در فهرست برنامه‌های ایمن قرار دارد و این اجازه را دارد که بدون هیچ محدودیتی در پرونده‌هایی که در پوشه‌های محافظت‌شده قرار دارند تغییر ایجاد کند، حتی زمانی که یک عامل مخرب از اشیاء OLE یا COM برای کنترل برنامه‌های آفیس استفاده می‌کند.

این پژوهش‌گر توضیح می‌دهد: «بنابراین، یک توسعه‌دهنده‌ی باج‌افزار می‌تواند نرم‌افزار خود را به گونه‌ای تغییر دهد که از اشیاء OLE برای تغییر، حذف، رمزنگاری پرونده‌ها استفاده کند، به طوری که این عملیات از دید کاربر پنهان باشند.»

 

بنابراین، یک مهاجم می‌تواند کدی ایجاد کند که برای اجرا از OLE Word Object استفاده می‌کند، و می‌تواند قابلیت ضد باج‌فزار ویندوز ۱۰ را دور بزند. ویندوز دیفندر نمی‌تواند هیچ‌کاری برای جلوگیری از اجرای این کد انجام دهد، زیرا کل این عملیات متکی به قابلیت رمزنگاری محلی در مایکروسافت آفیس است.

روشی که این پژوهش‌گر بیان می‌کند، در محیطی که هم آفیس و هم ویندوز استفاده می‌شود، قابلیت دسترسی به پوشه‌های کنترل‌شده موجود در Windows Defender Exploit Guard را به یک قابلیت بی‌فایده تبدیل می‌کند. علاوه‌بر اسناد، از این روش می‌توان برای هدف قرار دادن پی‌دی‌اف‌ها، تصاویر، و سایر انواع پرونده‌هایی که برنامه‌ی آفیس می‌تواند آن‌ها را ویرایش کند، مورد استفاده قرار بگیرد.

نایب رئیس آزمایشگاه Minerva، Lenny Zeltser گفت: «با این‌که این قابلیت برای محافظت در برابر باج‌افزار طراحی شده است، چیز عجیبی نیست که نتواند تمام سناریو‌های باج‌افزار را کنترل کند. استفاده از پرونده‌های آفیس مایکروسافت برای مهاجمان یک راه موثر به منظور دور زدن ضد بدافزارها است.»

 

یکی دیگر از سناریوهای بهره‌برداری که این پژوهش‌گر آن را اعلام کرد، استفاده از روش‌های Selection.Copy و Selection.Paste است، به این صورت که یک مهاجم می‌تواند از این روش‌ها برای تهیه‌ی رونوشتی از محتوای یک پرونده‌ی محافظت‌شده و قرار دادن آن در پرونده‌ی دیگری که خارج از پوشه‌ی محافظت‌شده قرار دارد، حذف محتوای پرونده‌ی اصلی یا جایگزین کردن آن با یک یادداشت باج‌خواهی و سپس رمزنگاری پرونده‌ی جدید استفاده کند.

به گفته‌ی این پژوهش‌گر، او شرکت مایکروسافت را از یافته‌های خود مطلع کرده است و این شرکت اعلام کرده است که از طریق بهبود عملکرد قابلیت دسترسی به پوشه‌ی کنترل‌شده این مسأله را حل خواهد کرد. با این حال به نظر می‌رسد که این غول فناوری این اشکال را به عنوان یک آسیب‌پذیری امنیتی در نظر نمی‌گیرد، چرا که مایکروسافت می‌گوید قابلیت Defender Exploit Guard به معنای یک مرز امنیتی نیست.

 

به گفته‌ی جوزف کارسون، دانشمند ارشد امنیت در شرکت Thycotic، چنین پاسخی از سمت مایکروسافت غیرقابل قبول است.

او گفت: «صادقانه بگویم، مایکروسافت مغلطه می‌کند. این قابلیت دقیقا مانند یک محافظ امنیتی در جلوی در یک ساختمان است تا اطمینان حاصل شود که هر کسی که وارد ساختمان می‌شود، دارای دسترسی درستی است، در حالی که درهای پشتی باز هستند. این یک روش نادرست برای حفاظت است، چرا که این روش کاملا مبتنی بر این است که مجرمان سایبری صادقانه عمل ‌کنند.»

کارسون گفت: «هنگامی که شما محصولی را Windows Defender (محافظ ویندوز) می‌نامید یا از عبارتDefender Exploit Guard  (جلوگیری از بهره‌برداری) استفاده می‌کنید، و هنگامی که توسط یک پژوهش‌گر امنیتی از یک حفره‌ی امنیتی مطلع می‌شوید، بدون شک پاسخ هایی مانند «ما این مسأله را به عنوان یک آسیب‌پذیری امنیت در نظر نمی‌گیریم، زیرا قرار نیست Defender Exploit Guard  یک مرز امنیتی باشد.» از لحاظ قانونی قابل قبول‌اند.»

او همچنین اشاره کرد که ممکن است در حال حاضر نیز این روش دور زدن در حملاتی در برابر کسب‌وکارها مورد بهره‌برداری قرار گرفته باشد، و شرکت‌ها نباید فقط به ویندوز دیفندر به عنوان تنها کنترل امنیتی متکی باشند، به خصوص که حتی خود شرکت مایکروسافت نیز می‌گوید این قابلیت به معنی یک مرز امنیتی نیست.

 

موسس و مدیر ارشد فنی آزمایشگاه SoleBIT، Meni Farjon نیز معتقد است که مهاجمان فقط با استفاده از قابلیت‌های آفیس قادر به دور زدن قابلیت محافظت در برابر باج‌افزار مایکروسافت هستند. او گفت: «آسیب‌پذیری اصلی این است که فهرست سفیدی از برنامه‌هایی مانند آفیس وجود دارد که اجازه دارند بدون محدودیت در پوشه‌های محافظت شده تغیر ایجاد کنند.»

Farjon نتیجه گرفت: «امروز ما شاهد افزایش بدافزارهای مبتنی‌بر ماکرو هستیم، که از قابلیت‌های آفیس برای توزیع باج‌افزار استفاده می‌کنند. به طور کلی، من معتقدم که قابلیت حفاطت در برابر باج‌افزار ویندوز دیفندر نباید به عنوان یک قابلیت ضد باج‌افزار کاملا کارا در نظر گرفته شود. من به کاربران توصیه می‌کنم که راه‌کارهای حفاظتی مانند ویندوز دیفندر را با راه‌حل‌های تشخیص محتوای فعال تقویت کنند تا بتوانند با باج‌افزارها در سطح شبکه مقابله کنند، قبل از این‌که این تهدیدها به نقاط انتهایی برسانند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید