رونمایی از Dark Side: 133 درایور ویندوز با امضای واقعی مایکروسافت آلوده به بدافزار

در پاسخ، مایکروسافت با تعلیق مجوزهای توسعه دهندگان متعدد اقدام می کند.

افشاگری‌های اخیر نگرانی‌هایی را در میان کاربرانی که برای حفظ امنیت رایانه‌های ویندوزی خود را با پشتکار به‌روزرسانی می‌کنند، افزایش داده است. مشخص شده است که 133 راننده با امضای رسمی مایکروسافت بدافزار را شناسایی کرده اند. این موضوع به ویژه هشدار دهنده است زیرا سیستم عامل به طور خودکار این درایورها را بدون دخالت کاربر بارگیری و نصب می کند. این کشف نیاز به بررسی دقیق و هوشیاری در مورد منابع و یکپارچگی رانندگان را برجسته می‌کند و بر اهمیت اجرای اقدامات امنیتی قوی برای محافظت در برابر چنین تهدیداتی تأکید می‌کند.

این کشف نگرانی های قابل توجهی را برانگیخته و سوالاتی را در مورد چگونگی وقوع چنین وضعیتی برانگیخته است. مایکروسافت که مدتی از این مشکل آگاه بود، در پاسخ به آن اقدام کرد. آخرین به روز رسانی ماهانه ویندوز به سرعت درایورهای آسیب دیده را مسدود کرد و حساب های توسعه دهندگان مسئول را قفل کرد. در حالی که این مراحل ممکن است خطر فوری را کاهش دهند، بسیار مهم است که عمیق تر در علل ریشه ای این موضوع کاوش کنیم.

چگونه بازیگران بدافزار گواهینامه ها را دزدیدند

به گفته مایکروسافت، درایورهایی که حاوی بدافزار بودند دارای امضای معتبری بودند که به آنها حقوق مدیر را در سیستم های آسیب دیده اعطا می کرد. این بدان معناست که عوامل مخرب پشت درایورها می‌توانند بدون شناسایی به سیستم‌های در معرض خطر دسترسی داشته باشند و آن‌ها را رصد کنند. درایورهای مورد بحث از شرکای مختلف مایکروسافت تهیه شده‌اند و به دلیل کشف، حساب‌های توسعه‌دهنده مرتبط از آن زمان به حالت تعلیق درآمده‌اند.

تحقیقات بیشتر نشان داد که شخصی گواهی‌های توسعه‌دهنده را برای امضای غیرقانونی درایورهای آلوده به بدافزار به دست آورده است. سازندگان نرم افزار مسئول این درایورها گواهینامه های آنها را به سرقت برده و به صورت آنلاین فروخته می شوند. این گواهی‌های دزدیده شده به بدافزار اجازه می‌داد تا اقدامات امنیتی را دور بزند و قانونی به نظر برسد، زیرا دارای امضای معتبر از توسعه‌دهندگان در معرض خطر بودند.

نحوه برخورد با درایورهای مخرب

از مارس 2023، ویندوز قابلیت‌های تشخیص خود را برای شناسایی درایورهای مخرب پیاده‌سازی کرده است و لایه‌ای از امنیت را در اختیار کاربران قرار می‌دهد. برای اطمینان از بهترین محافظت در برابر این تهدیدات، مایکروسافت قویاً به کاربران توصیه می کند که به طور منظم Windows Defender، راه حل آنتی ویروس داخلی خود را به روز کنند و همه به روز رسانی های موجود ویندوز را اعمال کنند. این به‌روزرسانی‌ها اغلب شامل وصله‌های امنیتی و پیشرفت‌هایی هستند که می‌توانند به محافظت در برابر انواع مختلف بدافزارها، از جمله درایورهای مخرب کمک کنند.

مایکروسافت توصیه می‌کند که یک اسکن آفلاین سیستم را انجام دهید تا احتمال وجود درایورهای مخرب قبلاً نصب شده قبل از 2 مارس 2023 برطرف شود. این اسکن آفلاین می‌تواند به شناسایی تهدیدهای بالقوه‌ای که ممکن است در طول اسکن آنلاین معمولی شناسایی نشده باشند، کمک کند. با انجام یک اسکن آفلاین، کاربران می توانند سیستم خود را به طور کامل بررسی کنند و اقدامات لازم را برای کاهش خطرات مرتبط با درایورهای بالقوه مخرب انجام دهند.

مایکروسافت یک فرآیند جمع‌آوری خودکار را برای درایورهای مخرب شناسایی شده اجرا کرده است تا اقدامات امنیتی را بیشتر افزایش دهد. این درایورها اکنون در فهرستی باطل هستند که در سیستم عامل ویندوز یکپارچه شده است. این فهرست لغو به مسدود کردن نصب و اجرای درایورهایی که به عنوان مخرب پرچم‌گذاری شده‌اند، کمک می‌کند و یک لایه حفاظتی اضافی در برابر تهدیدات شناخته شده اضافه می‌کند.

شایان ذکر است که در میان رانندگانی که در لیست ابطال قرار گرفته اند، تعداد قابل توجهی از آنها دارای گواهینامه از کشور چین هستند. این امر بر نیاز به نظارت و ارزیابی مستمر منابع محرک و اهمیت حفظ زنجیره تامین نرم افزار ایمن و قابل اعتماد تاکید می کند. با هوشیاری و به روز نگه داشتن سیستم های خود، کاربران می توانند بهتر از دستگاه های خود در برابر خطرات مرتبط با درایورهای مخرب محافظت کنند و یک محیط محاسباتی امن را حفظ کنند.

رونمایی از Dark Side: 133 درایور ویندوز با امضای واقعی مایکروسافت آلوده به بدافزار اسکرین شات