آسیب‌پذیری bypass در ویندوز چیست و چگونه آن را برطرف کنیم؟

آسیب‌پذیری bypass در ویندوز چیست و چگونه آن را برطرف کنیم؟

وقتی می‌خواهید رایانه یا لپ‌تاپ خود را خاموش کنید، ویندوز همیشه به‌روزرسانی‌ها را نصب می‌کند. به طور‌کلی، این یک مسئله دردسرساز برای اکثر کاربران است . بسیاری از کاربران رایانه شکایت دارند که ویندوز همیشه به طور خودکار برخی از به‌روزرسانی‌ها را نصب می‌کند. و آن‌ها می‌خواهند بدانند که آیا راه‌حلی برای غیرفعال کردن دائمی به‌روزرسانی ویندوز ۱۰ وجود دارد زیرا برخی مشکلات پس از به‌روزرسانی ویندوز رخ می‌دهد. به عنوان مثال، به‌روزرسانی ویندوز ممکن است منجر به از دست رفتن اطلاعات شود.

شرح مختصر آسیب‌پذیری بای‌پس(bypass)

ویژگی امنیتی آسیب‌پذیری بای‌پس (CVE-2020-0689) به مهاجمان این امکان را می‌دهد تا از ویژگی بوت ایمن عبور کرده و نرم‌افزارهای نامعتبر یا مخرب را در هنگام راه‌اندازی ویندوز بارگیری کنند. در حالی که این آسیب‌پذیری باعث ایجاد وحشت در بین مشتریان مایکروسافت شده بود، مایکروسافت یک نسخه امنیتی (KB4535680) را برای مقابله با این آسیب منتشر کرد. اما به‌روزرسانی با ایجاد مشکلات بازیابی کلید BitLocker در چندین محصول سیستم‌ عامل ویندوز در سرورها و Workstation ها رخ داد که باعث ناراحتی بیشتر مشتریان از این محصول شده‌ است.

چه کسی آلوده شده‌ است؟

هر شخص یا سازمانی در سراسر جهان که از نسخه‌های ویندوز ۱۰ (از v1607 تا v1909)، ویندوز ۸.۱، ویندوز سرور ۲۰۱۲ R2 و ویندوز سرور ۲۰۱۲ و محصولات سیستم عامل مایکروسافت استفاده می‌کند در معرض خطر ناشی از ویژگی امنیتی آسیب‌پذیری بای‌پس (CVE-2020-0689) است. این مشتریان همچنین پس از نصب به‌روزرسانی امنیتی (KB4535680) برای مقابله با این آسیب‌پذیری با مشکل بازیابی کلید BitLocker برخورد می‌کنند.

چگونه این آسیب‌پذیری مورد حمله قرار می‌گیرد؟

برای سوء‌استفاده از این آسیب‌پذیری (CVE-2020-0689)، یک مهاجم ابتدا به سرور هدف خود راه پیدا می‌کند و با انتشار فیشینگ ایمیل و ایجاد پیوندهای مخرب یا پیوست‌ها جهت بارگیری و نصب آن‌ها باعث امکان دسترسی به پوسته معکوس (reverse shell) و یا backend سیستم می‌شود. سپس مهاجم می‌تواند با استفاده از این دسترسی اولیه، مراحل بعدی نصب “LoJax” (روت کیت محبوب) را اجرا کند. حتی اگر سیستم دوباره نصب شود (یا قالب‌بندی شود) یا فروشنده به‌روزرسانی‌های BIOS را انجام دهد، rootkit  در میان‌افزار UEFI  سیستم باقی خواهد ماند. این آسیب‌پذیری خطر جدی دسترسی غیرمجاز، نقض امنیت، نقض داده‌ها، از دست دادن داده‌ها، ایجاد اختلال در فعالیت تجاری و تأثیر بر اعتبار سازمان‌های قربانی را به‌همراه دارد.

win 10

چه راه‌کاری می‌توان انجام داد؟

مایکروسافت تأکید کرده است که بارها مشکل بازیابی کلید BitLocker در سیستم عامل‌های ویندوز رخ داده است. این شرکت می‌گوید: ” اگر پروفایل اعتباری پلت‌فرم TPM  برای میان‌افزار بومی UEFI پیکربندی شود  و همچنین سیاست PCR7 انتخاب گردد، ممکن است به کلید بازیابی BitLocker نیاز نباشد.”

** برای مشاهده وضعیت اتصال PCR7، باید ابزار اطلاعات سیستم مایکروسافت (Msinfo32.exe) را با مجوز Administrative  اجرا کنید.

مایکروسافت راه‌حل‌های‌ کمی برای حل این مشکل ارائه‌ کرده‌‌است. این شرکت توصیه می‌کند قبل از نصب به‌روزرسانی امنیتی (KB4535680)  روی سیستم، دستورهای مناسب زیر را انجام دهید.

در دستگاهی که Credential Guard فعال نیست، دستور زیر را از خط فرمان Administrator  اجرا کنید تا BitLocker را برای یک چرخه راه‌اندازی مجدد به حالت تعلیق درآورد.

Manage-bde –Protectors –Disable C: -RebootCount 1

سپس، دستگاه را مجدداً راه‌اندازی کنید تا محافظت از BitLocker از سرگرفته شود.

یک دستگاه Credential Guard در حین به‌روزرسانی می‌تواند چندین راه‌اندازی مجدد داشته باشد که نیاز به تعلیق BitLocker  دارد. دستور زیر را از خط فرمان Administrator اجرا کنید تا BitLocker را برای سه دوره راه‌اندازی مجدد به حالت تعلیق درآورد.

Manage-bde –Protectors –Disable C: -RebootCount 3

انتظار می‌رود این به‌روزرسانی امنیتی (KB4535680) سیستم را دو بار راه‌اندازی کند. دستگاه را مجدداً راه‌اندازی کنید تا محافظت در برابر BitLocker  از سر‌گرفته شود.

توجه: محافظت BitLocker را بدون چند بار شروع مجدد فعال نکنید زیرا باعث بازگشت BitLocker می‌شود.

اکیداً توصیه می‌شود پس از اجرای راهکارهای فوق، به‌روزرسانی امنیتی (KB4535680) را نصب کنید تا خطرات ناشی از ویژگی امنیتی آسیب‌پذیری بای‌پس (CVE-2020-0689)  را کاهش دهد.

مطالب مرتبط