أفاد تقرير جديد من موقع Ars Technica بأن شركة مايكروسوفت أخفقت في حماية الحواسيب الشخصية العاملة بنظام التشغيل ويندوز من محركات الأقراص الخبيثة لقرابة ثلاث سنوات، ومع أن الشركة تقول إن تحديثات ويندوز التي تطلقها دوريًا تمنع محركات الأقراص الخبيثة من التنزيل على النظام، إلا أن موقع Ars Technica وجد أن تلك التحديثات لم تفعل ذلك كما ينبغي.
ووفقا لما ذكره موقع البوابة العربية لأخبار التقنية، فإنه بسبب هذا القصور في منع محركات الأقراص الخبيثة من الوصول إلى الحواسيب الشخصية العاملة بنظام ويندوز، فإن المستخدمين أصبحوا عرضة لنوع محدد من الهجمات يُسمى BYOVD، وتعني اختصارًا: أحضر محرك الأقراص غير الحصين الخاص بك.
يُشار إلى أن محركات الأقراص هي الملفات التي تستخدمها أنظمة تشغيل الحواسيب الشخصية للتواصل مع العتاد، سواء كان خارجيًا أو داخليًا، مثل: الطابعات، وبطاقات الرسومات، وكاميرا الويب، وغير ذلك.
ولأن محركات الأقراص تتطلب القدرة على الوصول إلى نواة نظام التشغيل الخاص بالجهاز، فإن مايكروسوفت تتطلب هي أيضًا قبل السماح بذلك، الموافقة على جميع محركات الأقراص، وذلك للتأكد من سلامتها للاستخدام.
ولكن إن كان هناك محرك أقراص مُوافَق عليه، وكان يحوي ثغرة أمنية، فإنه يمكن للقراصنة استغلال ذلك والوصول إلى نواة نظام ويندوز.
وهو ما حدث في مرات عديدة، ففي شهر أغسطس الماضي، ثبّت قراصنة برمجية انتزاع الفدية الخبيثة BlackByte على محرك أقراص غير حصين يُستخدم لرفع أداء برنامج MSI AfterBurner المخصص لبطاقات الرسوميات من شركة MSI.
كما شنت مجموعة القرصنة الكورية الشمالية Lazarus هجوم BYOVD على موظف هولندي في مجال صناعة الفضاء، وصحفي سياسي في بلجيكا عام 2021، ولكن لم يُكشف عن الأمر إلا أواخر الشهر الماضي عن طريق شركة أمن المعلومات اسيت ESET.
مايكروسوفت تؤكد حماية حواسيب ويندوز
ووفقًا لما ورد في تقرير Ars Technica، فإن شركة مايكروسوفت تستخدم ميزة خاصة اسمها HVCI، وتعني: سلامة التعليمات البرمجية المحمية بواسطة برنامج Hypervisor، لحماية الأجهزة من محركات الأقراص الخبيثة. وهي تقول إن هذه الميزة مُنشطة افتراضيًا على أجهزة معينة من أجهزة ويندوز.
ولكن موقع Ars Technica، وويل دورمان، وهو محلل أمني كبير لدى شركة أمن المعلومات Analygence، أكدا أن هذه الميزة لا توفر الحماية الكافية ضد محركات الأقراص الخبيثة.
وكان دورمان قد نشر في شهر سبتمبر الماضي تغريدات على تويتر يشرح فيها كيف تمكن من تنزيل محرك أقراص خبيث على جهاز نُشِّطت فيه ميزة HVCI، وذلك على الرغم من أن محرك الأقراص الخبيث كان على قائمة مايكروسوفت السوداء. ثم اكتشف لاحقًا أن قائمة مايكروسوفت السوداء لم تُحدَّث منذ عام 2019.
ولم ترد مايكروسوفت على قاله دورمان إلا في وقت سابق من الشهر الحالي، وذكرت أنها عالجت الأمر، كما نشرت تعليمات بشأن كيفية تحديث القائمة السوداء يدويًا.
