کنفرانس Black Hat 2015
شناسایی یک رخنه 20 ساله در پردازشگرهای اینتل
هر روز که سطح علمی جامعه IT افزایش می‌یابد، تازه آگاه می‌شویم، دستگا‌هایی که نزدیک به چندین سال از آن‌‌ها استفاده می‌کردیم به آسیب‌پذیری‌ها و رخنه‌های امنیتی جدی آلوده بودند. اکنون نوبت به پردازنده‌ها رسیده است. یک نقص طراحی در معماری پردازنده‌های x86 قدمتی 20 ساله دارد و به هکرها اجازه نصب یک روت‌کیت را روی سفت‌افزار سطح پایین‌ کامپیوترها می‌دهد. در نتیجه محصولات امنیتی توانایی شناسایی بدافزارهایی که به این روش نصب می‌شوند را نخواهند داشت.

منشا بوجود آمدن این آسیب‌پذیری به سال 1997 و اضافه شدن یک ویژگی به معماری x86 باز می‌گردد. این آسیب‌پذیری روز پنج‌شنبه در کنفرانس امنیتی Black Hat توسط کریستفور دوماس محقق امنیتی مؤسسه Battelle Memorial اعلام شد. با وجود این اهرم رخنه، هکرها توانایی نصب یک روت‌کیت در SMM (سرنام System Management Mode) پردازنده‌ها را دارند. SMM یک منطقه محافظت شده برای کدها است که تمام ویژگی‌های امنیتی سفت‌افزارهای کامپیوترهای امروزی درون آن قرار دارد. یک‌مرتبه که بدافزاری درون آن نصب شود، روت‌کیت، توانایی پیاده‌سازی حملات مخرب و پاک کردن UEFI ( سرنام Unified Extensible Firmware Interface) را در بایوس‌های امروزی یا آلوده‌سازی مجدد سیستم‌عاملی که به‌طور کامل پاک‌سازی شده است را دارد.

ویژگی‌های محافظت شده شبیه به Secure Boot  در این زمینه کمکی نمی‌کنند، به دلیل این‌که آن‌ها به SMM  اعتماد داشته و آن‌را ایمن می‌‌دانند. دوماس می‌گوید: « این حمله اساسا اعتماد به ریشه سخت‌افزارها را سست می‌کند.» اینتل هنوز به خبر مطرح شده از سوی دوماس واکنشی نشان نداده است. بنابر گفته‌های دوماس، سازنده تراشه از وجود این مشکل  آگاه شده و این مشکل در جدیدترین پردازنده‌های عرضه شده از سوی این شرکت برطرف شده است. همچنین، این شرکت به‌روزرسانی‌هایی را برای پردازنده‌های قدیمی منتشر ساخته است، اما همه پردازنده‌ها توانایی دریافت این وصله را نخواهند داشت. برای بهره‌برداری از این آسیب‌پذیری و نصب روت‌کیت، هکرها به مجوزهای سیستمی یا سطح کرنل، یک کامپیوتر نیاز دارند. به این معنی که، رخنه شناسایی شده روی یک سیستم به صورت عادی نمی‌تواند مورد استفاده قرار گیرد، اما می‌تواند تبدیل به بدافزاری شده که روی سیستم مقیم بوده و در اختفای کامل به سر می‌برد.

آزمایش‌های موفقیت‌آمیز دوماس تنها روی پردازنده‌های اینتل انجام شده است، اما بر این باور است که به لحاظ تئوری معماری x86 پردازنده‌های AMD نیز ممکن است به این آسیب‌پذیری آلوده باشند. حتا اگر به‌روزرسانی مربوط به بایوس/UEFI توسط سازندگان کامپیوترها عرضه شود، به‌احتمال زیاد تعداد بسیار کمی از مصرف‌کنندگان اقدام به نصب این به‌روزرسانی‌ها خواهند کرد.

متأسفانه بیشتر کاربران این به‌روزرسانی‌ها را مورد استفاده قرار نخواهند داد و تنها کاربرانی که از بابت آلوده شدن به بدافزارها نگران هستند اقدام به نصب این به‌روزسانی‌ها کرده و راه را برای دسترسی به مجوزهای کرنل و استقرار یک روت‌کیت مسدود می‌کنند. 

برچسب: