[ad_1]

عکس صفحه اخطار ویروس در صفحه لپ تاپ.

این شرکت و محققان خارجی گفتند که مایکروسافت اثر دیجیتالی خود را به روت کیت داده است ، این ارتباطات رمزگذاری شده را رمزگشایی می کند و آنها را به سرورهای کنترل شده حمله می فرستد.

با این اشتباه ممکن است بدافزار بر روی دستگاههای ویندوز نصب شود بدون اینکه کاربران هشدار امنیتی دریافت کنند یا اقدامات دیگری انجام دهند. طی 13 سال گذشته ، مایکروسافت برای اطمینان از ثبات و امنیت به درایورهای شخص ثالث و سایر کدهای موجود در هسته ویندوز نیاز داشته است تا توسط سازنده سیستم عامل آزمایش و امضای دیجیتالی شود. بدون گواهی مایکروسافت ، این نوع برنامه ها به طور پیش فرض قابل نصب نیستند.

شنود اتصالات SSL

در اوایل ماه جاری ، کارستن هان ، محقق شرکت امنیتی G Data ، دریافت که سیستم تشخیص بدافزار شرکت وی در حال رانندگی به نام Netfilter است. او در ابتدا فکر می کرد که این کشف به دروغ مثبت است ، زیرا مایکروسافت Netfilter را تحت برنامه سازگاری سخت افزاری ویندوز این شرکت به صورت دیجیتالی امضا کرده بود.

پس از آزمایش بیشتر ، خان دریافت که تشخیص مثبت کاذب نیست. او و محققان دیگرش تصمیم گرفتند بدانند بدافزار دقیقاً چه کاری انجام می دهد.

مهندس بازخورد یوهان آیدینباس گفت: “به نظر می رسد عملکرد اصلی اتصالات SSL را استراق سمع می کند.” در توییتر نوشت. “علاوه بر م componentلفه تغییر مسیر IP ، یک گواهی root نیز در رجیستری نصب (و محافظت می کند).”

روت کیت نوعی بدافزار است که به گونه ای نوشته می شود که از مشاهده آن در فهرست پرونده ها ، مانیتورهای کار و سایر ویژگی های استاندارد سیستم عامل جلوگیری می کند. از گواهینامه root برای تأیید اعتبار ترافیکی که از طریق اتصالات محافظت شده توسط پروتکل Transport Layer Security ارسال می شود ، استفاده می شود که داده ها را در حین رمزگذاری رمزگذاری می کند و تضمین می کند که سروری که کاربر به آن متصل است اصلی است و نه تقلبی گواهینامه های TLS معمولاً توسط یک مقام معتبر صدور گواهینامه (یا CA) صادر می شوند. با نصب یک گواهینامه root در خود ویندوز ، هکرها می توانند بر اساس نیاز CA کار کنند.

امضای دیجیتالی مایکروسافت ، همراه با گواهی ریشه بدافزار نصب شده ، مخفیکاری را در اختیار بدافزار قرار داده و امکان ارسال رمزگشایی TLS به hxxp: //110.42.4.180: 2081 / s را دارد.

یک نقص جدی امنیتی

مایکروسافت در بیانیه ای کوتاه روز جمعه نوشت: “مایکروسافت در حال تحقیق درباره یک بازیگر مخرب است که رانندگان مخرب را در محیط های بازی توزیع می کند. این بازیگر از طریق برنامه سازگاری سخت افزار ویندوز ، درایورها را برای صدور گواهینامه ارائه می دهد. درایورها توسط شخص ثالث ساخته می شوند. ما حساب را به حالت تعلیق درآورده و برنامه های آنها را برای نشانه های اضافی بدافزار بررسی کرده ایم. “

در این نشریه آمده است كه مایکروسافت شواهدی در مورد به خطر افتادن گواهینامه امضای برنامه سازگاری با سخت افزار ویندوز یا زیرساخت امضای WHCP پیدا نکرده است. از آن زمان ، این شرکت یافته های Netfilter را به موتور AV Windows Defender در ویندوز اضافه کرده و یافته ها را در اختیار سایر فروشندگان AV قرار داده است. این شرکت همچنین حساب ارائه شده توسط Netfilter را به حالت تعلیق درآورد و گزارش های قبلی در مورد نشانه های بدافزار اضافی را بررسی کرد.

مایکروسافت افزود:

فعالیت این بازیگر به بخش های بازی خصوصاً در چین محدود می شود و به نظر نمی رسد که هدفش فضای محیط شرکت باشد. ما در حال حاضر این را به یک بازیگر دولت-ملت نسبت نمی دهیم. هدف این بازیگر استفاده از راننده برای دستکاری در موقعیت جغرافیایی آنها ، فریب سیستم و بازی در همه جا است. نرمافزار مخرب به آنها امکان می دهد تا در بازی ها به مزیت برسند و احتمالاً با به خطر انداختن حساب های خود از طریق ابزارهای رایج مانند keylogger ، از بازیکنان دیگر سو explo استفاده کنند.

درک این نکته مهم است که از تکنیک های مورد استفاده در این حمله استفاده می شود بعد از عمل، به این معنی که مهاجم باید از قبل امتیازات اداری را کسب کرده باشد تا بتواند نصب کننده را برای به روزرسانی رجیستری و نصب درایور مخرب در دفعه بعدی که سیستم شروع می کند ، شروع کند یا کاربر را مجاب کند که این کار را از طرف او انجام دهد.

با وجود محدودیت های ذکر شده در انتشار ، حذف جدی است. برنامه صدور گواهینامه مایکروسافت برای جلوگیری از دقیقاً نوع حمله ای که برای اولین بار توسط G Data شناسایی شده است ، طراحی شده است. مایکروسافت هنوز نگفته است که چگونه امضای دیجیتالی بدافزار بوجود آمده است. مقامات شرکت از اظهار نظر در این باره خودداری کردند.



[ad_2]

منبع: tarjome-news.ir