آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

در ویندوز 10، حفاظت در برابر نرم‌افزارهای مخرب اخاذی پول، به‌راحتی دور زده می‌شود

عنواندر ویندوز 10، حفاظت در برابر نرم‌افزارهای مخرب اخاذی پول، به‌راحتی دور زده می‌شود
گروه اصلیOther
شرح خبر

بر مبنای ادعای یک محقق امنیتی، دور زدن قابلیت ضدنرم‌افزارهای اخاذی پول، که مایکروسافت در به‌روزرسانی نسخه Windows 10 Fall Creators معرفی کرده است، بسیار ساده انجام می‌شود.

قابلیت ضدنرم‌افزارهای اخاذی پول، که اصطلاحاً دسترسی پوشه کنترل‌شده نامیده می‌شود، به‌عنوان بخشی از
 
Windows Defender Exploit Guard معرفی شده بود، که مجموعه جدیدی از قابلیت‌های پیشگیری از نفوذ، در جدیدترین پلتفرم مایکروسافت می‌باشد.

در زمان اعلام این قابلیت، Microsoft آن را به‌عنوان لایه جدیدی از حفاظت بلادرنگ معرفی کرد، که به کاربران این امکان را می‌دهد تا با تعریف این‌که کدام برنامه‌ها به پوشه‌های خاص دسترسی دارند، از دسترسی نرم‌افزارهای اخاذی پول به داده‌هایشان جلوگیری کنند. بنابراین، بدافزارها و سایر برنامه‌های غیرمجاز، قادر به دسترسی به فایل‌های موجود در این فهرست‌ها نمی‌باشند.

به گفته Yago Jesus، این لایه حفاظتی، می‌تواند به سادگی توسط برنامه‌های مجاز مانند آفیس، برای دسترسی به داه‌ها، دور زده شود.

این امر امکان‌پذیر است، چرا که فایل‌های اجرایی آفیس به‌صورت پیش‌فرض جزء لیست سفید هستند، و می‌توانند بدون هیچ محدویتی، بر روی فایل‌هایی که در پوشه‌های محافظت‌شده قرار دارند، تغییرات ایجاد کنند، حتی زمانی که یک کاربر با استفاده از اشیاء OLE/COM، فایل‌های اجرایی Office را تحت برنامه‌ریزی خاصی کنترل می‌کند.

محقق تشریح می‌کند، «بنابراین، یک توسعه‌دهنده نرم‌افزار اخاذی پول، می‌تواند برنامه خود را به‌ گونه‌ای تطبیق دهد که با استفاده از اشیاء OLE، فایل‌هایی که برای صاحب فایل قابل رؤیت هستند، تغییر دهد، حذف نماید، یا رمزنگاری کند.»

بنابراین، مهاجمی که توانایی کدنویسی دارد، می‌تواند با بهره‌گیری از شئ اجرایی OLE Word، قابلیت ضدنرم‌افزار اخاذی پول در ویندوز 10 را دور بزند. Windows Defender هیچ اقدامی در جهت توقف اجرای کد، انجام نمی‌دهد، چرا که کل عملیات به قابلیت محلی رمزنگاری در Microsoft Office متکی می‌باشد.

بر اساس نظر محققان، این تکنیک، قابلیت دسترسی پوشه کنترل‌شده در Windows Defender Exploit Guard را، در محیطی که Office و Word به کار گرفته می‌شوند، بی‌فایده می‌کند. علاوه بر اسناد متنی، این متد می‌تواند PDFها، تصاویر، و سایر فایل‌های قابل ویرایش توسط Office را هدف قرار دهد.

به گفته Lenny Zeltser، معاون ریاست محصولات در آزمایشگاه‌های Minerva مستقر در اسرائیل، «مادامی که این قابلیت برای حفاظت در برابر نرم‌افزارهای اخاذی پول طراحی شده، تعجب‌آور نیست که نتواند کلیه سناریوهای اخاذی پول را مدیریت کند. استفاده از فایل‌های Microsoft Office، روش مؤثری برای مهاجمان است، تا ابزارهای آنتی‌ویروس را دور بزنند.»

 به گفته Jesus، یکی دیگر از سناریوهای سوءاستفاده، مستلزم استفاده از متدهای
 
Selection.Copy / Selection.Paste برای کپی‌‌برداری محتوای یک فایل محافظت‌شده به فایل دیگری خارج از پوشه حفاظت‌شده، حذف محتوای فایل اصلی، یا جایگزینی آن با یک یادداشت اخاذی، و سپس رمزنگاری فایل جدید، می‌باشد.

این محقق می‌گوید به مایکروسافت در رابطه با یافته‌های خویش اطلاع‌رسانی کرده و شرکت تأیید کرده این معضل را «به‌وسیله بهبود عملکرد دسترسی پوشه کنترل‌شده» برطرف سازد. اگرچه، به‌نظر می‌رسد این غول فناوری، این باگ را به‌عنوان یک آسیب‌پذیری امنیتی نمی‌بیند، «چرا که هدف  Defender Exploit Guard این نیست که یک مرز امنیتی باشد.»

به گفته Joseph Carson، دانشمند ارشد امنیت در Thycotic مستقر در واشنگتن، چنین پاسخی از مایکروسافت قابل قبول نیست.

وی از طریق ایمیل به SecurityWeek گفت: «رک و پوست کنده بگویم، این یک نمونه کلاسیک از مغلطه است. این مسأله مشابه این است که یک نگهبان امنیتی، در جلوی در یک ساختمان، بررسی کند همه افرادی که وارد می‌شوند دسترسی صحیح داشته باشند، در حالی که در پشتی برای همگان باز است. این‌که توقع داشته باشید مجرمان سایبری درستکار باشند، یک اشتباه است.»

وی همچنین به این نکته اشاره کرد که احتمالاً، این تکنیک دور زدن، تا کنون در حملات علیه کسب‌وکارها مورد سوءاستفاده قرار گرفته، و شرکت‌ها نباید به‌سادگی، به Windows Defender، به‌عنوان تنها کنترل امنیتی تکیه کنند، به‌خصوص در شرایطی که خود مایکروسافت می‌گوید این حتی یک مرز امنیتی نیست.

به گفته Carson، «بهتر است فوراً نام آن را به چیزی که هست تغییر دهید، به جای اینکه کاربران را با یک حس اشتباه از امنیت و حفاظت گمراه کنید.»

Meni Farjon، مؤسس و مدیر ارشد فناوری در آزمایشگاه‌های SoleBIT مستقر در اسرائیل، معتقد است مهاجمان برای دورزدن قابلیت حفاظت در برابر نرم‌افزارهای اخاذی پول، ملزم به استفاده از قابلیت‌های Office هستند. آسیب‌پذیری اصلی، این است که لیست سفیدی از برنامه‌هایی مانند Office وجود دارد، که بدون هیچ محدودیتی مجاز به اعمال تغییرات در پوشه‌های حفاظت شده می‌باشند.

به گفته Farjon، «امروزه شاهد افزایش بدافزارهای مبتنی بر ماکرو هستیم، این بدافزارها از قابلیت‌های
محتوای فعال
Office، برای اخاذی پول استفاده می‌کنند. به‌طور کلی، من اعتقاد دارم حفاظت در برابر نرم‌افزارهای اخاذی پول Windows Defender ، نباید به‌عنوان یک قابلیت ضداخاذی پول همه جانبه تلقی شود، بلکه بیشتر مشابه یک قابلیت حفاظت داده است. من به کاربران توصیه می‌کنم چنین دفاع‌هایی را، با راه‌کارهای شناسایی آسیب‌پذیری و تشخیص محتوای فعال تقویت کنند، تا بتوانند با نرم‌افزارهای اخاذی پول در سطح شبکه مقابله کنند، پیش از آن‌که کار به مراحل نهایی برسد.»

آدرس اینترنتی خبرhttp://www.securityweek.com/windows-10-ransomware-protection-easily-bypassed-researcher-says
تاریخ درج خبر1397-01-21
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست