باگ امنیتی Windows Defender پس از ۱۲ سال رفع شد

قدیمی بودن آسیب‌پذیری به معنای بی‌فایده بودن آن نیست. خواه هک ادوبی فلش باشد یا بهره‌برداری از EternalBlue ویندوز، برخی از روش‌ها به قدری خوب هستند که حتی اگر مدت‌زمان زیادی از دوران اوج آن‌ها گذشته باشد، باز هم هکرها نمی‌توانند آن‌ها را کنار بگذارند. اما ظاهراً یک اشکال مهم ۱۲ ساله در آنتی‌ویروس معروف Windows Defender تا همین اواخر مورد حمله مهاجمان و سودجویان قرار نگرفته بود و مایکروسافت سرانجام پس از گذشت این همه سال، برای این آسیب‌پذیری پچ امنیتی ارائه کرده است. نکته اصلی این جا است که باید مطمئن شد هکرها سعی نکنند این زمان ازدست‌رفته را جبران کنند.

براساس گزارش Wired، نقص کشف‌شده توسط محققان شرکت امنیتی SentinelOne در درایوری بود که Windows Defender  از آن برای پاک کردن فایل‌ها و زیرساخت‌های مهاجمِ ساخته‌شده توسط بدافزارها استفاده می‌کرد. هنگامی که درایور یک فایل مخرب را حذف می‌کند، در هنگام اصلاح، آن را به‌‌عنوان یک نوع حافظه جایگزین با یک فایل جدید عوض می‌کند؛ اما محققان دریافتند که سیستم به‌طور خاص آن مورد جدید را تأیید نمی‌کند؛ در نتیجه، یک مهاجم می‌تواند لینک‌های استراتژیکی به سیستم وارد کند که درایور را به جایگزینی فایل اشتباه یا حتی اجرای کد مخرب هدایت می‌کند.


از آن‌جایی که Windows Defender به‌صورت پیش‌فرض روی همه سیستم‌های ویندوز نصب می‌شود و در صدها میلیون رایانه و سرور سراسر جهان وجود دارد، وجود چنین باگی می‌توانست برای مهاجمان بسیار مفید باشد. این آنتی ویروس بسیار در بین کاربران و توسعه‌دهندگان مورد اعتماد است و کسی فکر نمی‌کرد چنین نقصی در آن وجود داشته باشد. این آسیب‌پذیری به قدری خطرناک بود که افراد سودجو می‌توانستند به وسیله‌ی آن نرم‌افزار یا داده‌های مهم را حذف کنند یا حتی به درایور دستور بدهند که کد شخصی آن‌ها را برای تصاحب کامل دستگاه اجرا کند. به‌طور کلی این مسیر می‌توانست برای دستگاه‌های بسیاری در سراسر جهان خطرناک باشد.

SentinelOne در اواسط ماه نوامبر ۲۰۲۰ برای اولین‌ بار این اشکال را به مایکروسافت گزارش کرد و روز سه‌شنبه گذشته پچ امنیتی برای رفع این باگ منتشر شد. مایکروسافت این آسیب‌پذیری را به‌عنوان یک گزینه با خطر بالا ارزیابی کرده است و هشدارهای مهمی درباره‌ی آن وجود دارد. البته این نقص امنیتی تنها زمانی می‌تواند مورد سوء استفاده قرار بگیرد که مهاجم از راه دور یا فیزیکی به دستگاه مدنظر دسترسی داشته باشد. این بدان معنا است که هکرها نمی‌توانند تنها با استفاده از این باگ وارد سیستم شوند و این سودجویان مانند بسیاری از سناریوهای دیگر به موارد بیشتری برای رسیدن به اهداف شوم خود نیاز دارند؛ اما باز هم این وجود چنین نقصی برای هکرها جذاب است.

مایکروسافت و SentinelOne اعلام کرده‌اند که هیچ شواهدی مبنی بر سوء استفاده از این نقص امنیتی وجود ندارد و بررسی‌های انجام‌شده هیچ حمله‌ای از این طریق را نشان نمی‌دهد. SentinelOne هنوز اطلاعاتی درباره‌ی اینکه مهاجمان چگونه می‌توانند از این باگ سوء استفاده کنند منتشر نکرده است. البته دلیل این کار شرکت امنیتی مذکور کاملا مشخص است؛ زیرا اکنون یافته‌ها علنی شده و کافی است هکرها بدانند از چه روش‌هایی می‌توانند به سیستم‌ها نفوذ کنند؛ پس بهتر است اطلاعات بیشتری در اختیار آن‌ها قرار نگیرد.

سخنگوی مایکروسافت درباره‌ی امنیت کاربران می‌گوید:

    هرکسی که پچ ۹ فوریه را نصب یا به‌روزرسانی خودکار را فعال کند، سیستم خود را برابر این آسیب‌پذیری محافظت کرده است.

در دنیای فناوری که سیستم‌عامل‌ یکی از مهم‌ترین فاکتورهای هر سیستم است، دوازده سال برای پنهان ماندن یک آسیب‌پذیری امنیتی واقعا زمان بسیار زیادی است. محققان می‌گویند ممکن است زمان اصلی بیشتر از این باشد؛ زیرا بررسی آن‌ها محدود به مدت زمانی است که ابزار VirusTotal اطلاعات محصولات آنتی ویروس را ذخیره می‌کند و در سال ۲۰۰۹ ویندوز ویستا با ویندوز ۷ به‌عنوان نسخه فعلی مایکروسافت جایگزین شد؛ در نتیجه تنها ۱۲ سال اطلاعات راجع ‌به این موضوع در دسترس است.

هنوز کسی دلیل پنهان ماندن طولانی‌مدت این باگ را متوجه نشده؛ اما حدس‌هایی مطرح شده است. محققان می‌گویند از آن‌جایی که درایور آسیب‌پذیر مانند درایورهای دیگر (برای مثال چاپگر) به‌صورت تمام وقت در هارددیسک کامپیوتر ذخیره نمی‌شود، توانسته است برای مدت‌زمان طولانی پنهان بماند. در عوض، این درایور در یک  فولدر سیستمی ویندوز به نام «dynamic-link library» قرار دارد و Windows Defender فقط در صورت لزوم آن را بارگیری می‌کند. پس از پایان کار درایور، دوباره از هارددیسک پاک می‌شود در نتیجه اطلاعات زیادی از آن در سیستم باقی نمی‌ماند.

سخنگوی SentinelOne می‌گوید:

    تیم تحقیقاتی ما متوجه شد این درایور به‌صورت پویا بارگیری و سپس در صورت عدم نیاز پاک می‌شود؛ این یک رفتار معمول نیست. بنابراین ما آن را بررسی کردیم. آسیب‌پذیری‌های مشابهی ممکن است در سایر محصولات وجود داشته باشد و با افشای این موضوع، به دیگران در حفظ امنیت کمک خواهیم کرد.

برخی مواقع مشکلات و آسیب‌پذیری‌های امنیتی برای مدت‌زمان زیادی در یک سیستم می‌مانند و کسی از وجود آن‌ها خبردار نمی‌شود. تاکنون این اتفاق چندین بار رخ داده است؛ زیرا توسعه‌دهندگان و محققان امنیتی نمی‌توانند همیشه همه‌ی جوانب را بررسی کنند. به‌عنوان مثال، در ماه جولای مایکروسافت یک آسیب پذیری خطرناک ۱۷ ساله در Windows DNS ویندوز را با انتشار پچ امنیتی اصلاح کرد.