شماره نهم خبرنامه دیده بان
۱۸ تير ۱۴۰۳ - ۱۸:۳۱
بدافزار می تواند عملیات مخرب مختلفی را انجام دهد؛ از جمله پاک کردن بخش UEFI یا همان BIOS قدیمی و یا آلوده سازی مجدد سیستم پس از نصب دوباره سیستم عامل تمیز از صفر.
یک ضعف طراحی در پردازنده های x86 شرکت Intel که از دو دهه قبل وجود دارد، می تواند امکان نصب بدافزار از نوع Rootkit را در پایین ترین سطح نرم افزاری یک کامپیوتر فراهم آورد. این بدافزار از دید و دسترس ابزارهای امنیتی مخفی و پنهان باقی می ماند.
این ضعف ناشی از یک قابلیت در پردازنده های x86 است که اولین بار در سال ۱۹۹۷ میلادی به ساختار این پردازنده ها اضافه شد. خبر این ضعف قدیمی در کنفرایس امنیتی Black Hat که اکنون در حال برگزاری است، از سوی موسسه Battelle Memorial Institute اعلام و منتشر شد.
با سوء استفاده از این ضعف، می توان یک بدافزار را در بخش SMM یا System Management Mode پردازنده نصب و فعال کرد. بخش SMM یک منطقه محافظت شده از "ثابت افزار” (Firmware) پردازنده است که تمام امکانات امنیتی کامپیوترهای امروزی در آنجا جمع هستند.
پس از فعال شدن، بدافزار می تواند عملیات مخرب مختلفی را انجام دهد؛ از جمله پاک کردن بخش UEFI یا همان BIOS قدیمی و یا آلوده سازی مجدد سیستم پس از نصب دوباره سیستم عامل تمیز از صفر.
امکانات امنیتی نظیر Secure Boot در برابر چنین بدافزاری که در SMM قرار گرفته، چاره ساز نخواهد بود زیرا پایه و اساس این امکانات امنیتی در سالم و امن بودن بخش SMM ثابت افزار پردازنده است.
شرکت Intel از وجود چنین ضعفی مطلع است و طراحی پردازنده های خود را در سری های جدیدی که تولید می کند، بازنگری و اصلاح کرده است. همچنین اصلاحیه هایی نیز برای ترمیم ثابت افزار پردازنده های فعلی در دست تهیه دارد. ولی همه پردازنده های Intel قابل ترمیم نخواهند بود.
برای سوءاستفاده از این ضعف طراحی پردازنده های x86 و نصب بدافزار، نیاز به دسترسی در سطح هسته مرکزی Kernel و مجوزهای سیستم هست. لذا از این ضعف به خودی خود نمی توان برای نفوذ و نصب بدافزار استفاده کرد. ولی می تواند بدافزاری را که توانسته به سیستم نفوذ کند، تبدیل به یک بدافزار پنهان، سمج و از نوع Rootkit کند.
گرچه آزمون های صورت گرفته تاکنون بر روی پردازنده های Intel بوده است ولی احتمال داده می شود که پردازنده های x86 ساخت شرکت AMD نیز ضعف مشابه را داشته باشند.
شاید شرکتهای سازنده کامپیوتر اقدام به انتشار نسخه های جدید و به روز شده ای از BIOS و UEFI برای مقابله با این ضعف نمایند ولی میزان و سرعت اعمال اینگونه به روز رسانی ها از طرف کاربران بسیار کم و کند است.
تنها راه حل برای مقابله با این ضعف پردازنده ها این است که سعی کنید آلوده به هیچ بدافزاری نشوید تا راه را برای نصب احتمالی بدافزار در SMM پردازنده هموار نکند.
مهمترین راهکار نهادینه سازی الزامات و ضوابط پدافند غیرعامل در دستگاههای اجرایی را چه می دانید؟!
شماره هشتم خبرنامه دیده بان
۲۶ خرداد ۱۴۰۳ - ۱۳:۵۷
شماره هفتم خبرنامه دیده بان
۱۳ خرداد ۱۴۰۳ - ۱۰:۱۳
شماره ششم خبرنامه دیدهبان
۳۱ ارديبهشت ۱۴۰۳ - ۱۶:۰۶
شماره پنجم خبرنامه دیدهبان
۲۳ ارديبهشت ۱۴۰۳ - ۱۲:۳۷
شماره چهارم خبرنامه دیدهبان
۱۲ ارديبهشت ۱۴۰۳ - ۲۲:۳۳
شماره سوم خبرنامه دیده بان
۰۶ ارديبهشت ۱۴۰۳ - ۱۲:۰۵
شماره دوم خبرنامه دیده بان
۰۱ ارديبهشت ۱۴۰۳ - ۲۳:۳۵
شماره اول خبرنامه دیده بان
۲۱ فروردين ۱۴۰۳ - ۲۳:۴۲