مايكروسوفت تُحذر المستخدمين من تثبيت التعريفات القديمة

انتشر تقرير من موقع Ars Technica مفاده أن مايكروسوفت عجزت عن حماية الأجهزة من التعريفات الملغمة قرابة الثلاث سنوات، على الرغم من أن الشركة أضافت التحديثات التي تشمل تلك التعريفات لقائمة الحظر، إلا أنها لا تزال موجودة. ذلك نقلًا عن The Verge.

إن الفجوة في تغطية وصول التحديثات جعلت المستخدمين عرضة لنوع معين من الاختراقات يعرف بـ BYOVD، اختصارًا لـ Bring Your Own Vulnerable Driver. بما أن التعريفات عبارة عن ملفات تسهل تواصل نظام التشغيل مع الأجهزة المتصلة والقطع الداخلية، فإنها بلا شك قادرة على الوصول لنواة النظام، لذلك، تشترط مايكروسوفت أن كل التعريفات تكون مُوقعة رقميًا للتأكد من أنها آمنة للاستخدام. لكن إذا كان هناك تعريفًا موقعًا رقميًا بالفعل، ولكن به ثغرة، فبإمكان المخترقين استغلالها للوصول إلى النظام مباشرة.

شهدنا بالفعل عدة هجمات من هذا النوع على نطاق واسع، حيث تمكن المخترقين في شهر أغسطس من تلغيم برنامج MSI Afterburner بفيروس فدية باسم BlackByte. أيضًا هناك هجمة استغلت ثغرة في تعريفات نظام مكافحة الغش للعبة Genshin Impact. كما قامت جماعة من كوريا الشمالية تُعرف باسم Lazarus العام الماضي بشن هجمة BYOVD على موظف طيران في هولندا وصحفي سياسي في بلجيكا، لكن لم تكشف شركة ESET للأمن أية تفاصيل حتى الشهر الماضي.

أشار تقرير Ars Technica إلى وجود خاصية في نظام ويندوز تُعرف باسم Hypervisor-Protected Code Integrity (HVCI) التي من المفترض أنها تحمي النظام من التعريفات الخبيثة، والتي من المفترض أنها مُفعلة بشكل افتراضي وفقًا لمايكروسوفت. بالرغم من ذلك، شدد كل من موقع Ars Technica والسيد ويل دورمان، محلل أول للثغرات الأمنية لدى شركة Analygence للأمن السيبراني، أن تلك الخاصية لا تقدم حماية دقيقة من هذه التعريفات الخبيثة.

نشر السيد دورمان في سبتمبر ثريد يشرح فيه أنه تمكن من تزيل تعريف ملغم على جهاز مفعل به خاصية HVCI، بالرغم من أنه ضمن قائمة حظر مايكروسوفت. اكتشف مؤخرًا أن مايكروسوفت لم تحدث قائمة تحديثاتها منذ عام 2019، وأن خاصيةAttack Surface Reduction (ASR) لا تجدي نفعًا.

لم ترد مايكروسوفت على أي مما قاله السيد دورمان حتى مطلع هذا الشهر، حيث رد السيد جيفري ثزرلاندن مدير المشروعات لدى مايكروسوفت، عبر تويتر قائلًا “لقد قمنا بتحدث المستندات المتاحة عبر الانترنت وأضفنا تنزيلًا يحتوي على إرشادات لتطبيق الإصدار الثنائي مباشرة. كما أننا نعمل أيضًا على إصلاح المشاكل المتعلقة بعملية الخدمة التي تمنع الأجهزة من استقبال التحديثات.” منذ ذلك الحين، قامت مايكروسوفت بتقديم إرشادات لكيفية تحديث قائمة الحظر التي تشمل التعريفات الملغمة، لكن ليس واضحًا متى ستضيف مايكروسوفت تعريفات جديدة تلقائيًا عبر التحديثات.

Thanks for all the feedback. We have updated the online docs and added a download with instructions to apply the binary version directly. We're also fixing the issues with our servicing process which has prevented devices from receiving updates to the policy.
— Jeffrey Sutherland (@j3ffr3y1974) October 6, 2022

في تصريح لموقع Ars Technica، قال المتحدث الرسمي لشركة مايكروسوفت أن قائمة التعريفات الخبيثة يتم تحديثها بشكل منتظم، وأنهم تلقوا بلاغات تفيد بوجود فجوة في التزامن على جميع نسخ النظام، كما أنهم قاموا بالفعل بإصلاح ذلك الأمر وسيتم تدعيمه في التحديثات المستقبلية.