یک محقق امنیتی، دو آسیبپذیری جدید در ویندوز ۱۱ را منتشر کرده که طبق گزارشها، یکی از آنها میتواند به مهاجم اجازه دهد با داشتن دسترسی فیزیکی به دستگاه و استفاده از یک حافظهی فلش، محافظتهای «بیتلاکر» (BitLocker)1 را دور زده و به فایلهای رمزنگاریشده دسترسی پیدا کند.
این افشا شامل دو نقص امنیتی است. مایکروسافت گفته این ادعاها را بررسی میکند و برای محافظت از کاربران، در صورت تأیید، محصولات آسیبدیده را بهروزرسانی خواهد کرد. اما در این مطلب نوشدارو به مورد اول که مهمتر است میپردازیم:
آسیبپذیری YellowKey: کلید طلایی هکرها برای بیتلاکر
این آسیبپذیری مستقیماً محیط بازیابی ویندوز (WinRE)2 را هدف قرار میدهد. در حالت استاندارد، بیتلاکر هارد دیسک شما را رمزنگاری میکند تا بدون رمز عبور، هیچ دادهای قابل خواندن نباشد؛ اما این نقص، طبق گزارشها، به مهاجمی که به دستگاه دسترسی فیزیکی دارد اجازه میدهد از بخشی از محیط بازیابی ویندوز سوءاستفاده کند و به دادههای روی درایو محافظتشده با بیتلاکر دسترسی پیدا کند؛ بدون اینکه الزاماً رمز کاربر یا کلید بازیابی را در اختیار داشته باشد.
در واقع، بخشهایی از WinRE در زمان بوت به درایوهای رمزگشاییشده دسترسی موقت دارند. هکرها از همین نقطه کور برای ورود بدون نیاز به پسورد استفاده میکنند.
چگونه از دادههای خود محافظت کنیم؟
چند پژوهشگر امنیتی مستقل کارکرد YellowKey را آزمایش و تأیید کردهاند. تا زمانی که وضعیت رسمیتر و وصله احتمالی مایکروسافت روشن شود، پیشنهاد میشود موارد زیر را اجرا کنید:
- تعریف پینکد برای بیتلاکر: فقط به رمزنگاری پیشفرض اکتفا نکنید؛ فعالسازی یک PIN سفارشی قبل از بالا آمدن سیستم عامل، کار را برای اکسپلویتهای محیط بوت دشوار میکند.
- فعالسازی رمز عبور بایوس (BIOS Password): قفل کردن محیط بایوس مادربرد باعث میشود مهاجم نتواند لپتاپ را از روی فلش USB مخرب یا ابزارهای دور زدن قفل، بوت کند.
- محافظت فیزیکی از دستگاه: به یاد داشته باشید که تمام قدرت بدافزار YellowKey در دسترسی فیزیکی مهاجم به پورتهای لپتاپ شما نهفته است.
در نهایت
آسیبپذیری جدید یادآوری میکند که رمزنگاری دیسک، هرچند ضروری است، اما بهتنهایی همه سناریوهای حمله را پوشش نمیدهد. وقتی مهاجم به خود دستگاه دسترسی فیزیکی داشته باشد، امنیت به تنظیمات بوت، محیط بازیابی، UEFI/BIOS، Secure Boot و سیاستهای سازمانی هم وابسته میشود.
تا زمان روشن شدن نتیجه بررسی مایکروسافت و انتشار راهنمایی یا وصله رسمی، کاربران حساس و مدیران شبکه بهتر است بهروزرسانیها را دنبال کنند، تنظیمات بیتلاکر و بوت را سختگیرانهتر بررسی کنند و روی حفاظت فیزیکی از دستگاهها جدیتر باشند.
- بیتلاکر (BitLocker) ابزار رمزنگاری دیسک در ویندوز است که اطلاعات هارد یا SSD را قفل میکند تا در صورت سرقت یا دسترسی فیزیکی به دستگاه، فایلها بدون کلید یا رمز مناسب قابل خواندن نباشند. ↩︎
- محیط بازیابی ویندوز (WinRE) یک سیستمعامل سبک برای عیبیابی خطاهای بوت ویندوز است، اما در آسیبپذیری اخیر، همین ابزار ترمیمی بهعنوان یک در پشتی (Backdoor) برای دور زدن رمزنگاریها عمل میکند. ↩︎
