آسیبپذیری bypass در ویندوز چیست و چگونه آن را برطرف کنیم؟
وقتی میخواهید رایانه یا لپتاپ خود را خاموش کنید، ویندوز همیشه بهروزرسانیها را نصب میکند. به طورکلی، این یک مسئله دردسرساز برای اکثر کاربران است . بسیاری از کاربران رایانه شکایت دارند که ویندوز همیشه به طور خودکار برخی از بهروزرسانیها را نصب میکند. و آنها میخواهند بدانند که آیا راهحلی برای غیرفعال کردن دائمی بهروزرسانی ویندوز ۱۰ وجود دارد زیرا برخی مشکلات پس از بهروزرسانی ویندوز رخ میدهد. به عنوان مثال، بهروزرسانی ویندوز ممکن است منجر به از دست رفتن اطلاعات شود.
شرح مختصر آسیبپذیری بایپس(bypass)
ویژگی امنیتی آسیبپذیری بایپس (CVE-2020-0689) به مهاجمان این امکان را میدهد تا از ویژگی بوت ایمن عبور کرده و نرمافزارهای نامعتبر یا مخرب را در هنگام راهاندازی ویندوز بارگیری کنند. در حالی که این آسیبپذیری باعث ایجاد وحشت در بین مشتریان مایکروسافت شده بود، مایکروسافت یک نسخه امنیتی (KB4535680) را برای مقابله با این آسیب منتشر کرد. اما بهروزرسانی با ایجاد مشکلات بازیابی کلید BitLocker در چندین محصول سیستم عامل ویندوز در سرورها و Workstation ها رخ داد که باعث ناراحتی بیشتر مشتریان از این محصول شده است.
چه کسی آلوده شده است؟
هر شخص یا سازمانی در سراسر جهان که از نسخههای ویندوز ۱۰ (از v1607 تا v1909)، ویندوز ۸.۱، ویندوز سرور ۲۰۱۲ R2 و ویندوز سرور ۲۰۱۲ و محصولات سیستم عامل مایکروسافت استفاده میکند در معرض خطر ناشی از ویژگی امنیتی آسیبپذیری بایپس (CVE-2020-0689) است. این مشتریان همچنین پس از نصب بهروزرسانی امنیتی (KB4535680) برای مقابله با این آسیبپذیری با مشکل بازیابی کلید BitLocker برخورد میکنند.
چگونه این آسیبپذیری مورد حمله قرار میگیرد؟
برای سوءاستفاده از این آسیبپذیری (CVE-2020-0689)، یک مهاجم ابتدا به سرور هدف خود راه پیدا میکند و با انتشار فیشینگ ایمیل و ایجاد پیوندهای مخرب یا پیوستها جهت بارگیری و نصب آنها باعث امکان دسترسی به پوسته معکوس (reverse shell) و یا backend سیستم میشود. سپس مهاجم میتواند با استفاده از این دسترسی اولیه، مراحل بعدی نصب “LoJax” (روت کیت محبوب) را اجرا کند. حتی اگر سیستم دوباره نصب شود (یا قالببندی شود) یا فروشنده بهروزرسانیهای BIOS را انجام دهد، rootkit در میانافزار UEFI سیستم باقی خواهد ماند. این آسیبپذیری خطر جدی دسترسی غیرمجاز، نقض امنیت، نقض دادهها، از دست دادن دادهها، ایجاد اختلال در فعالیت تجاری و تأثیر بر اعتبار سازمانهای قربانی را بههمراه دارد.
چه راهکاری میتوان انجام داد؟
مایکروسافت تأکید کرده است که بارها مشکل بازیابی کلید BitLocker در سیستم عاملهای ویندوز رخ داده است. این شرکت میگوید: ” اگر پروفایل اعتباری پلتفرم TPM برای میانافزار بومی UEFI پیکربندی شود و همچنین سیاست PCR7 انتخاب گردد، ممکن است به کلید بازیابی BitLocker نیاز نباشد.”
** برای مشاهده وضعیت اتصال PCR7، باید ابزار اطلاعات سیستم مایکروسافت (Msinfo32.exe) را با مجوز Administrative اجرا کنید.
مایکروسافت راهحلهای کمی برای حل این مشکل ارائه کردهاست. این شرکت توصیه میکند قبل از نصب بهروزرسانی امنیتی (KB4535680) روی سیستم، دستورهای مناسب زیر را انجام دهید.
در دستگاهی که Credential Guard فعال نیست، دستور زیر را از خط فرمان Administrator اجرا کنید تا BitLocker را برای یک چرخه راهاندازی مجدد به حالت تعلیق درآورد.
Manage-bde –Protectors –Disable C: -RebootCount 1
سپس، دستگاه را مجدداً راهاندازی کنید تا محافظت از BitLocker از سرگرفته شود.
یک دستگاه Credential Guard در حین بهروزرسانی میتواند چندین راهاندازی مجدد داشته باشد که نیاز به تعلیق BitLocker دارد. دستور زیر را از خط فرمان Administrator اجرا کنید تا BitLocker را برای سه دوره راهاندازی مجدد به حالت تعلیق درآورد.
Manage-bde –Protectors –Disable C: -RebootCount 3
انتظار میرود این بهروزرسانی امنیتی (KB4535680) سیستم را دو بار راهاندازی کند. دستگاه را مجدداً راهاندازی کنید تا محافظت در برابر BitLocker از سرگرفته شود.
توجه: محافظت BitLocker را بدون چند بار شروع مجدد فعال نکنید زیرا باعث بازگشت BitLocker میشود.
اکیداً توصیه میشود پس از اجرای راهکارهای فوق، بهروزرسانی امنیتی (KB4535680) را نصب کنید تا خطرات ناشی از ویژگی امنیتی آسیبپذیری بایپس (CVE-2020-0689) را کاهش دهد.
