افشای دو آسیب‌پذیری روز صفر ویندوز با اکسپلویت‌های YellowKey و GreenPlasma

افشای دو آسیب‌پذیری روز صفر ویندوز  (Windows Zero-Day Vulnerability)توسط یک پژوهشگر مستقل، بار دیگر اعتماد به استحکام لایه‌های امنیتی مایکروسافت را به چالش کشید. این دو آسیب‌پذیری روز صفر ویندوز که اکسپلویت‌های YellowKey و GreenPlasma برای سوءاستفاده از آن‌ها منتشر شده‌اند، امکان دور زدن BitLocker و دستیابی به سطح دسترسی System را برای مهاجمان فراهم می‌کنند.       

جزئیات فنی اکسپلویت YellowKey

BitLocker به‌عنوان سیستم رمزنگاری کامل دیسک در ویندوز، برای حفاظت از داده‌ها به ماژول سخت‌افزاری TPM (Trusted Platform Module) متکی است تا در صورت سرقت یا مفقود شدن دستگاه، دسترسی غیرمجاز به داده‌ها غیرممکن شود. با این حال، اکسپلویت YellowKey با سوءاستفاده از آسیب‌پذیری روز صفر در ویندوز، این لایه حفاظتی را هدف قرار می‌دهد.

یک پژوهشگر امنیتی با نام‌های مستعار Chaotic Eclipse و Nightmare Eclipse کد اثبات مفهومی (PoC) مربوط به این اکسپلویت را منتشر کرده است. این کد به مهاجمی با دسترسی فیزیکی به سیستم Windows 11 اجازه می‌دهد محدودیت‌های BitLocker را دور زده و به کل بخش ذخیره‌سازی دسترسی پیدا کند.

در این روش، مهاجم ابتدا پوشه PoC را روی یک درایو USB کپی می‌کند و سپس آن را به سیستم هدف متصل می‌سازد. طبق توضیحات منتشرشده، همین نتیجه از طریق کپی فایل‌های PoC در پارتیشن EFI نیز قابل دستیابی است.

نقش WinRE در بهره‌برداری از آسیب‌پذیری روز صفر ویندوز

در مرحله بعد، سیستم باید به محیط بازیابی ویندوز یا WinRE بوت شود. این کار با نگه‌داشتن کلید Shift هنگام انتخاب Restart و سپس رها کردن Shift و نگه‌داشتن Ctrl انجام می‌شود تا پنجره خط فرمان (Command Prompt) باز شده و زمینه لازم برای دسترسی به بخش رمزنگاری‌شده فراهم شود.

به‌گفته Chaotic Eclipse، کامپوننت مسئول این ضعف تنها در ایمیج WinRE وجود دارد و در جای دیگری از اینترنت در دسترس نیست. او همچنین اشاره کرده که همان کامپوننت با همان نام در نسخه معمولی ویندوز وجود دارد، اما فاقد قابلیت‌هایی است که دور زدن BitLocker را ممکن می‌کنند؛ موضوعی که احتمال وجود یک بکدور پنهان را مطرح کرده است.

چندین پژوهشگر امنیتی از جمله Kevin Beaumont، KevTheHermit و Will Dormann عملکرد این اکسپلویت را بررسی کرده و تأیید کرده‌اند که حتی در نسخه‌های جدید Windows 11 نیز کار می‌کند.

قابلیت عبور از TPM PIN

Chaotic Eclipse اعلام کرده است که YellowKey در شرایط خاص قادر است حتی سیستم‌هایی که با TPM PIN محافظت می‌شوند را نیز دور بزند. با این حال، او از انتشار کد PoC مربوط به این سناریو خودداری کرده است.

بررسی‌های پژوهشگرانی مانند JaGoTu نشان می‌دهد موفقیت این حمله تا حد زیادی به نحوه پیاده‌سازی WinRE در سیستم هدف بستگی دارد.

این موضوع از نظر تاریخی نیز یادآور یک ضعف قدیمی در ویندوز است؛ زمانی که نگه داشتن ترکیب SHIFT+F10 هنگام به‌روزرسانی ویژگی‌های Windows 10 باعث باز شدن یک shell با دسترسی ادمین می‌شد، در حالی که BitLocker موقتاً غیرفعال بود.

اکسپلویت GreenPlasma؛ مسیر دیگری برای سوءاستفاده از آسیب‌پذیری روز صفر ویندوز

Chaotic Eclipse علاوه بر YellowKey، یک اکسپلویت دیگر با نام GreenPlasma نیز منتشر کرده است. این مورد نیز به یک آسیب‌پذیری روز صفر ویندوز مربوط می‌شود و امکان افزایش سطح دسترسی تا سطح System را فراهم می‌کند.

او نسخه‌ای از PoC را منتشر کرده که بخش مربوط به دستیابی به یک System shell کامل از آن حذف شده است. با این حال، همین نسخه می‌تواند یک Memory Section Object دلخواه در مسیرهایی ایجاد کند که توسط حساب System قابل نوشتن هستند.

به‌گفته این پژوهشگر، چنین قابلیتی می‌تواند برای دستکاری سرویس‌های مختلف ویندوز، از جمله درایورهای حالت کرنل، مورد استفاده قرار گیرد.

پیامدهای امنیتی

کارشناسان امنیتی هشدار می‌دهند که حتی نسخه محدود PoC نیز می‌تواند مبنایی برای توسعه اکسپلویت‌های پیشرفته‌تر باشد. Joshua Roback، متخصص ارشد امنیت سایبری در Swimlane، تأکید می‌کند هر مسیری که به دسترسی سطح System منتهی شود باید با دقت بررسی شود؛ زیرا مهاجمان می‌توانند از آن برای غیرفعال‌سازی مکانیزم‌های امنیتی، دستکاری پردازه‌های مورد اعتماد و استقرار بدافزار استفاده کنند.

Ross Filipek، مدیر ارشد امنیت اطلاعات در Corsica Technologies نیز می‌گوید انتشار عمومی PoC، معادله ریسک را تغییر می‌دهد؛ زیرا فاصله زمانی میان شناسایی و بهره‌برداری از این آسیب‌پذیری روز صفر ویندوز به‌شدت کاهش یافته و به مهاجمان اجازه می‌دهد از همین نقطه برای ایجاد زنجیره‌های نفوذ پیچیده استفاده کنند.

سابقه افشاگری‌های Chaotic Eclipse

این نخستین بار نیست که Chaotic Eclipse چنین رویکردی در پیش می‌گیرد. او پیش‌تر در اوایل آوریل، کد PoC مربوط به BlueHammer را نیز منتشر کرد؛ ضعف امنیتی در Windows Defender که توسط مایکروسافت در Patch Tuesday همان ماه اصلاح شد. گزارش‌ها نشان می‌دهد مهاجمان تنها چهار روز پیش از انتشار پچ، از این ضعف بهره‌برداری کرده بودند.

واکنش مایکروسافت به گزارش آسیب‌پذیری روز صفر ویندوز

مایکروسافت اعلام کرد که از این گزارش‌ها آگاه بوده و در حال بررسی اعتبار و دامنه تأثیر آن‌ها در پلتفرم‌ها و سرویس‌های خود است. سخنگوی این شرکت تأکید کرد مایکروسافت متعهد به بررسی سریع ضعف‌های امنیتی گزارش‌شده و ارائه به‌روزرسانی برای محافظت از کاربران است. همچنین این شرکت بر اهمیت افشای هماهنگ آسیب‌پذیری‌ها (Coordinated Vulnerability Disclosure) به‌عنوان یک استاندارد امنیتی تأکید کرده است.

منابع