BitLocker را در ویندوز 10 با کلیدهای SHIFT+F10 دور بزنید!

اگر امنیت رایانه‌ی شما متکی به نرم‌افزار رمزنگاری درایو سخت BitLocker در ویندوز است، بیشتر مراقب باشید! بخاطر اینکه هرکسی با دسترسی فیزیکی به رایانه‌ی شما می‌تواند به پرونده‌های شما در عرض چند ثانیه دست یابد. تنها چیزی که مهاجم نیاز دارد نگه داشتن کلیدهای SHIFT+F10 در طول فرآیند به‌روزرسانی ویندوز 10 است.

محقق امنیتی با نام سامی لای‌هو این روش ساده برای دور زدن BitLocker را کشف کرد. در این روش مهاجم می‌تواند در طول فرآیند به‌روزرسانی ویندوز 10 با نگه داشتن کلیدهای SHIFT+F10 به یک واسط خط فرمان (CLI) با امتیازات ویژه دست یابد.

این واسط خط فرمان، دسترسی به کل درایو سامانه‌ی قربانی را به مهاجم اعطا می‌کند. این موضوع حتی زمانی‌که بر روی سامانه‌ی قربانی ویژگی رمزنگاری درایو BitLocker نیز فعال باشد، اتفاق می‌افتد.

لای‌هو توضیح داد که در فرآیند به‌روزرسانی ویندوز 10، زمانی‌که تصویر جدید از ویندوز 10 قرار است نصب شود، سامانه عامل، BitLocker را غیرفعال می‌کند. در طول این فرآیند کاربر می‌تواند برای عیب‌یابی کلیدهای SHIFT+F10 را فشار دهد که یک خط فرمان نمایش داده خواهد شد. متأسفانه در این شرایط به دلیل غیرفعال بودن BitLocker مهاجم می‌تواند به درایو، دسترسی کامل داشته باشد.

ویژگی SHIFT+F10 در نسخه‌های قبلی ویندوز نیز وجود داشت و در ویندوز 7 و 8 نیز با استفاده از آن می‌شد BitLocker را دور زد. اما وجود این اشکال در فرآیند به‌روزرسانی درجای ویندوز 10، مشکل بسیار جدی‌تری محسوب می‌شود.

مهاجم فقط به دسترسی فیزیکی به سامانه‌ی قربانی برای مدت بسیار کوتاهی نیاز دارد تا BitLocker را دور زده و بر روی دستگاه دسترسی مدیریتی داشته باشد. این مسئله ممکن است دستگاه‌های اینترنت اشیاء که از ویندوز 10 استفاده می‌کنند را نیز تحت تأثیر قرار دهد.

چرا این مسئله نگران‌کننده است؟ خیلی از افراد عادت دارند زمانی که سامانه عامل به‌روزرسانی می‌شود، رایانه‌ی خود را ترک کنند چرا که معمولاً به‌روزرسانی زمان زیادی طول می‌کشد.

در این بازه‌ی زمانی هر کسی می‌تواند پشت رایانه‌ی شما نشسته و از طریق یک خط فرمان با امتیازات ویژه، در حضور BitLocker عملیات خرابکارانه انجام دهد بدون اینکه به نرم‌افزار خاصی نیاز داشته باشد.

در یک سناریوی آزمایشی، لای‌هو این حمله را انجام داده است که ویدئوی آن را در وبلاگ این محقق می‌توانید ببینید (به دلایلی امکان قرار دادن فیلم را در سایت نداریم). لای‌هو وجود این مشکل را به مایکروسافت گزارش داده و این شرکت در تلاش است تا آن را برطرف کند.

چگونه خطرات این آسیب‌پذیری را کاهش دهیم؟

در قالب اقدامات پیشگیرانه، این محقق امنیتی توصیه کرده تا کاربران رایانه‌ی خود را در طول به‌روزرسانی سامانه عامل ترک نکنند.

او همچنین از کاربران خواسته تا از ویندوز 10 LTSB استفاده کنند چرا که این نسخه از سامانه عامل به‌طور خودکار به‌روزرسانی نمی‌شود.

کاربران ویندوز 10 که از مدیر پیکربندی مرکز سامانه SCCM – System Center Configuration Manager استفاده می‌کنند، می‌توانند دسترسی به واسط خط فرمان در طول به‌روزرسانی سامانه عامل را غیرفعال کنند. کاربران برای این کار کافی است پرونده‌ای با نام DisableCMDRequest.tag را به پوشه‌ی زیر اضافه کنند.

%windir%\Setup\Scripts\

گیگ بوی مرجع دانلود و مقالات دنیای شبکه