חפרפרות דופקות
חוקרי Talos הודיעו למיקרוסופט על ממצאיהם מוקדם יותר, ובתגובה, יצרנית התוכנה פרסמה ביום שלישי עדכון של Windows שחוסם את כל האישורים שדווחו על ידי Talos.
"מיקרוסופט פרסמה עדכוני אבטחת חלונות (ראה טבלת עדכוני אבטחה) שלא אמון על מנהלי התקנים ומנהלי התקנים חתימה על אישורים עבור התיקים המושפעים והשעתה את חשבונות המוכרים של השותפים", גורמים בחברה כתב ב-an ייעוץ. "בנוסף, מיקרוסופט הטמיעה איתור חסימה (Microsoft Defender 1.391.3822.0 ואילך) כדי לסייע בהגנה לקוחות ממנהגים חתומים באופן לגיטימי שנעשה בהם שימוש זדוני בפעילות שלאחר ניצול". מידע נוסף הוא כאן.
כפי שציינתי באוקטובר האחרון, Windows לא הצליח להוריד ולהחיל עדכונים לרשימת החסימות של מנהלי ההתקן למרות שאחד המנהלים שלה סיפקו הבטחות ציבוריות להיפך. הניסיונות של מיקרוסופט לחסום מנהלי התקנים חתומים בשימוש זדוני היו (1) שילוב של מה שנקרא שלמות זיכרון ו-HVCI, קיצור של Hypervisor-Protected Code Integrity או (2) מנגנון נפרד למניעת כתיבה של מנהלי התקנים גרועים לדיסק, המכונה ASR, או Attack Surface צִמצוּם.
בזמן שדיווחתי על המאמר באוקטובר, קיבלתי מחשב Windows 10 מעודכן במלואו כדי להתקין כמה מהמנהלי התקנים של מיקרוסופט שנחסמו. חוקרי אבטחה הריצו בדיקות שמצאו גם ש-Windows התקינו מנהלי התקנים חסומים כביכול בסדר גמור. אחד החוקרים היה וויל דורמן, שמצא שני חורים פעורים במגנות. אחד מהם היה שרשימת מנהלי ההתקן לא עודכנה מאז 2019, למרות הבטחות של מיקרוסופט להיפך. השני: הוא לא מצא שום עדות לכך ש-ASR עובד בכלל.
"חסימת מנהלי התקנים הפגיעים של מיקרוסופט הייתה שבורה לחלוטין בסתיו האחרון", אמר לי דורמן ביום שלישי, "אבל הם תיקנו את זה, כך שרשימת החסימות עובדת ומופצת לנקודות קצה."
התיקון של מיקרוסופט, לדבריו, הגיע בצורה של הפצת קובץ בשם driversipolicy.p7b לנקודות קצה "פעם או פעמיים לכל שָׁנָה." עם העדכון של יום שלישי, מיקרוסופט פרסמה קובץ חדש בשם driver.stl המכיל את האישורים שנמצאו על ידי Talos.
הפעולות של מיקרוסופט ממשיכות את גישת החפרפרת של החברה לבעיית מנהלי התקנים זדוניים המשמשים בתרחישים שלאחר ניצול, כלומר לאחר שהאקר כבר השיג הרשאות מנהל. הגישה היא לחסום נהגים שידוע כי נעשה בהם שימוש זדוני אך לא לעשות דבר כדי לסגור את הפרצה הפעורה. זה משאיר את התוקפים חופשיים פשוט להשתמש בקבוצה חדשה של מנהלי התקנים כדי לעשות את אותו הדבר. כפי שהוכח בעבר ושוב עכשיו, מיקרוסופט לעתים קרובות לא מצליחה לזהות מנהלי התקנים שנעשה בהם שימוש זדוני במשך שנים.
למען ההגינות כלפי מיקרוסופט, פתרון עובד הוא חמקמק מכיוון שנהגים פגיעים רבים ממשיכים בשימוש לגיטימי על ידי מספר רב של לקוחות משלמים. ביטול של מנהלי התקנים כאלה עלול לגרום לתוכנה חיונית ברחבי העולם להפסיק לפתע לעבוד.
בהתחשב בכך שניתן להשתמש במנהלי התקנים בזדון רק לאחר שהאקר השיג זכויות מערכת, ההגנה הטובה ביותר היא למנוע פשרות מלכתחילה. אנשים שרוצים לבדוק אם המערכות שלהם נדבקו באמצעות הטכניקה שגילה טאלוס יכולים לחפש חפצים שאחד משני הכלים לפעמים משאיר אחריו. כפי ש-Microsoft ציינה, תוכניות AV רבות יכולות גם לזהות אפליקציות המותקנות עם מנהלי ההתקן.
