تكبيرالنتينا بالادينو
أنظمة Huawei MateBook التي تقوم بتشغيل PCManager الخاصة بالشركة البرنامج يتضمن برنامج تشغيل يسمح للمستخدمين غير المميزين بإنشائه عمليات مع امتياز الخارق. كان السائق غير آمن اكتشفته Microsoft باستخدام بعض ميزات المراقبة الجديدة تمت إضافته إلى إصدار شبابيك 1809 الذي تتم مراقبته بواسطة الشركة خدمة Microsoft Defender Advanced Threat Protection (ATP).
أول الأشياء أولاً: قامت Huawei بإصلاح برنامج التشغيل ونشره إصدار آمن في أوائل يناير ، لذلك إذا كنت تستخدم نظام Huawei وقمت بتحديث كل شيء أو إزالة المضمنة التطبيقات تماما ، يجب أن تكون على ما يرام.
الجزء المثير للاهتمام من القصة هو كيف وجدت مايكروسوفت سيئة سائق في المقام الأول.
لا يعتمد Microsoft Defender ATP فقط على التوقيع برنامج مكافحة نقطة النهاية للكشف عن التهديدات المعروفة ؛ ويستخدم أيضا الاستدلال التي تبحث عن السلوك الذي يبدو مشبوهة ، حتى لو لم يتم تحديد برامج ضارة معينة. ويندوز نفسه الإشعارات بعض الإجراءات التي اتخذتها البرامج ورفع تقارير إلى Defender تبحث خدمة ATP السحابية والخوارزميات المستندة إلى تعلم الآلة الشذوذ في هذه التقارير.
أدخل: حكومة الولايات المتحدة
يتضمن نظام التشغيل Windows 10 الإصدار 1809 تتبعًا مصممًا لاكتشافه DOUBLEPULSAR من النوع الخلفي. DOUBLEPULSAR هي واحدة من العديد التقنيات التي ابتكرتها وكالة الأمن القومي وبعد ذلك تسربت. بعد نشره ، تم استخدامه في البرمجيات الخبيثة.
يوفر DOUBLEPULSAR طريقة لتشغيل برنامج kernel للخطر رمز التشغيل في وضع المستخدم. وهو يعمل عن طريق نسخ بعض التعليمات البرمجية في ذاكرة عملية مميزة قيد التشغيل بالفعل وبعد ذلك توجيه النظام إلى تنفيذ هذا الرمز عن طريق إرسال APC إلى معالجة. APCs (“استدعاءات الإجراءات غير المتزامنة”) هي طريقة ل قم بتوجيه مؤشر ترابط مؤقتًا لإيقاف تشغيل الوظيفة جري. بدلاً من ذلك ، يتحولون إلى تشغيل وظيفة مختلفة ؛ متى انتهاء هذه الوظيفة المختلفة ، يستأنف مؤشر الترابط الأصلي وظيفة من حيث توقفت.
يتم استخدام APCs داخليًا بواسطة نظام التشغيل لبعض I / O العمليات: بدلاً من الاضطرار إلى الانتظار حتى يقرأ النظام أو كتابة ملف ، ويندوز لديه نظام حيث القراءة أو الكتابة يمكن بدء العملية دون انتظار ، مع استخدام APC ل تشير إلى أن القراءة أو الكتابة قد انتهت.
يتطلب هذا زوجًا من العمليات المتتالية التي يقوم بها kernel يمكن اكتشاف: تخصيص بعض الذاكرة ضمن عملية قيد التشغيل ، تليها النواة إرسال العملية APC التي تشير تلك الذاكرة المخصصة حديثا. إما العملية من تلقاء نفسها هي من القليل من الاهتمام ، ولكن الاثنين يحدثان معاً ، باستخدام APC الذاكرة ، يدل على هجوم على غرار DOUBLEPULSAR. Windows10 نسخة 1809 شملت أجهزة استشعار لتسجيل هذه العمليات النواة المعروف أنها مفيدة للبرامج الضارة.
عندما تكون البرامج والبرامج الضارة غير قابلة للتمييز
مزيد من التحقيقات كشفت أنه في هذه المناسبة بالذات ، لم يكن من البرامج الضارة التي تم حقنها وتشغيل التعليمات البرمجية في المستخدم معالجة؛ كان سائق هواوي مكتوب. كان سائق هواوي من المفترض أن يكون بمثابة نوع من الرقابة: إنه يراقب مستخدم منتظم تعد خدمة الوضع جزءًا من برنامج PCManager ، وإذا كان ذلك يجب أن تتعطل الخدمة أو تتوقف عن التشغيل ، يقوم السائق بإعادة تشغيله. لتنفيذ ذلك إعادة التشغيل ، قام برنامج التشغيل بحقن رمز في امتياز يقوم Windows بمعالجة هذا الكود ثم تشغيله باستخدام APC- وهي تقنية رفعت مباشرة من البرامج الضارة.
لماذا اختارت هواوي هذا النهج غير واضح على الفور ، كما يحتوي Windows كميزة مضمنة على القدرة على إعادة التشغيل المعطلة خدمات. ليست هناك حاجة إلى الوكالة الدولية للطاقة الخارجية.
قام برنامج Huawei بإجراء بعض المحاولات لضمان ذلك التواصل فقط مع وإعادة تشغيل خدمة Huawei الخاصة ، ولكن أذونات غير لائقة تعني أنه حتى عملية غير مسبوقة يمكن خطف منشأة الوكالة الدولية للطاقة للسائق واستخدامها لبدء عملية مهاجم يسيطر عليها امتيازات LocalSystem ، وإعطاء هذه العملية الوصول الكامل إلى النظام المحلي.
ثم واصل باحثو مايكروسوفت النظر إلى السائق و وجدت أن لديها قدرة معيبة أخرى: يمكنها تعيين أي صفحة الذاكرة الفعلية في عملية المستخدم ، مع كل من القراءة والكتابة الأذونات. مع هذا ، يمكن للمستخدم تعديل عملية النواة أو أي شيء آخر ، وعلى هذا النحو ، أيضًا ، يمثل عيبًا كبيرًا.
في حين أن هناك ، بطبيعة الحال ، عنصرا في الملعب المبيعات حولها وصف Microsoft العام لما وجدته وكيف عثر عليه إنه – يوضح أن Defender ATP يمكنه حقًا تقديم نتائج ذات صلة و البيانات القيمة – يقوم هذا المثال بعمل جيد لإظهار كيفية قيام Microsoft يستخدم تحديثات Windows 10 المعتادة لتعزيز الدفاع بشكل متعمق التدابير وكيف يمكن أن توفر التحليلات المستندة إلى مجموعة النظراء رؤى سيكون من الصعب خلاف ذلك. كما يبرز فقط بعض الأشياء الفظيعة للغاية التي تفعل بائعي الأجهزة عندما لقد كلفوا بكتابة البرامج. عندما البائعين الأجهزة الخاصة بك تفتح عيوب أمنية كبيرة ونسخ تقنيات البرمجيات الخبيثة ، يتساءل المرء إذا كنا بحاجة إلى حماية من الأخيار وكذلك السيئة.