BitLocker، TPM Won't Defend All PCs Against VBootkit 2.0

VBootkit 2.0 عبارة عن رمز إثبات المفهوم الذي كشف عنه باحثون أمنيون فيبين كومار ونيتين كومار ، من NVLabs ، في مؤتمر الأمن في Hack In The Box (HITB) الذي عقد في دبي الأسبوع الماضي. يسمح الرمز ، الذي يبلغ حجمه 3 كيلو بايت فقط ، للمهاجم بالتحكم في جهاز كمبيوتر يعمل بنظام التشغيل Windows 7 عن طريق تصحيح الملفات عند تحميلها في الذاكرة الرئيسية للنظام. نظرًا لعدم تعديل أي برنامج على القرص الثابت للكمبيوتر ، فإن الهجوم غير قابل للاكتشاف تقريبًا.

VBootkit 2.0 هو إصدار محدث لأداة سابقة ، تسمى VBootkit 1.0 ، والتي يمكنها التحكم في كمبيوتر Windows Vista باستخدام طريقة مشابهة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

باستخدام الإصدار 2.0 من VBootkit ، بمجرد أن يتحكم أحد المهاجمين في جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows 7 أثناء عملية التمهيد ، يمكنه الحصول على الوصول على مستوى النظام إلى الكمبيوتر ، أعلى مستوى ممكن. ويمكنهم أيضًا إزالة كلمات مرور المستخدمين للوصول إلى الملفات المحمية والتخلص من حماية DRM (إدارة الحقوق الرقمية) من ملفات الوسائط المتعددة. يمكن استعادة كلمات المرور بعد ذلك ، مخفية أي دليل على أنها تعرضت للاختراق.

"لا يوجد حل لهذا. لا يمكن حلها. إنها مشكلة في التصميم" ، قال فيبين كومار خلال عرضه الأسبوع الماضي ، مشيرا إلى افتراض ويندوز 7 أن عملية التمهيد آمنة من الهجوم.

رداً على ذلك ، قال أحد ممثلي Microsoft إن دعم Windows 7 لوحدة النظام الأساسي الموثوق (TPM) و BitLocker Drive Encryption (BDE) يعني أن الهجوم "باطل" ، مما يقلل من التهديد للمستخدمين.

هذا التأكيد صحيح جزئيا. TPMs هي ميكروكنترولر التي تحتوي على مفاتيح التشفير والتوقيعات الرقمية ، مضيفا مستوى إضافي من الأمن من خلال مصادقة الأجهزة من ملفات البرامج. BDE هي ميزة حماية البيانات المتوفرة في بعض إصدارات Windows Vista التي تعمل عن طريق تشفير البيانات على القرص الثابت للكمبيوتر. هذه هي الحماية القوية التي تحمي ضد هجمات Bootkit ولكنها غير متوفرة على جميع أجهزة الكمبيوتر.

"TPM و BitLocker (بشكل جماعي) سيوقف VBootkit عن العمل. لكن TPM غير متوفر على أجهزة الكمبيوتر المستهلك - معظمها - و BitLocker متوفر فقط في إصدارات Vista المتطورة ، "كتب Nitin Kumar في رسالة بريد إلكتروني.

تقييد BitLocker إلى الإصدارات المتطورة من Windows Vista ، والتي تكلف أكثر من الإصدارات الأخرى ، متعمد. تقسم Microsoft Windows إلى إصدارات مختلفة وبأسعار متفاوتة لاستهداف أسواق مختلفة. نظرًا لأن عملاء الشركات يرغبون في دفع المزيد مقابل ميزات الأمان مثل BitLockers ، فإن هذه الإمكانيات لا يتم تقديمها مع إصدارات أقل تكلفة من نظام التشغيل. هذه مقاربة ذكية من وجهة نظر تسويق المنتجات والمبيعات ، ولكنها تترك الملايين من المستخدمين دون نفس مستوى الحماية.

لن يكون BitLocker متاحًا على كافة إصدارات Windows 7 ، وفقًا لأحدث خطط Microsoft. ستكون متاحة كميزات Windows 7 Enterprise و Windows 7 Ultimate ، ولكنها لن تكون جزءًا من الإصدارات الأربعة الأخرى لنظام التشغيل: Professional و Home Premium و Home Basic و Starter. وهذا يعني أن أجهزة الكمبيوتر التي تحتوي على هذه النكهات من Windows 7 ، والتي من المحتمل أن تمثل الجزء الأكبر من مستخدمي Windows 7 ، لن تكون محمية ضد هجمات تشبه VBootkit.

يمثل رمز إثبات المفهوم الذي تم عرضه في HITB دبي أمانًا محدودًا التهديد لأنه يجب أن يكون للمهاجم سيطرة فعلية على جهاز كمبيوتر لاستخدام VBootkit 2.0 ، تحميل البرنامج باستخدام قرص مضغوط أو ذاكرة USB أو من خلال منفذ FireWire. ولكن هذا لا يعني أنه لا يمكن تعديل الشفرة لهجوم بعيد.

تم إطلاق مقدمة VBootkit ، تسمى Bootkit ، تحت ترخيص مفتوح المصدر وتم تعديلها من قبل الآخرين للهجمات البعيدة ضد أجهزة الكمبيوتر التي تعمل بنظام Windows XP ، قال نيتين كومار.

VBootkit 2.0 يمكن تعديله للاستخدام كفيروس BIOS ، PXE (Boot Pre Execution Environment) أو فيروس تمهيد عادي. نتيجة لذلك ، تخطط NVLabs للحفاظ على رمز VBootkit 2.0 تحت التفاف. وقال: "ليس لدينا أي خطط لجعلها مفتوحة المصدر ، بسبب فرص إساءة الاستخدام".

في حين أن هناك بعض الراحة في قرار NVLabs بعدم إصدار كود VBootkit 2.0 ، فقد أظهر التاريخ أنه إذا كانت هناك مجموعة واحدة يمكن للباحثين الأمنيين العثور على الثغرة واستغلالها ، يمكن لمجموعة أخرى أو الأفراد استغلالها أيضًا.