کشف حفره امنیتی در نرمافزار پشتیبانی لپتاپهای دل، توشیبا و لنوو
به نظر میرسد معضل امنیتی موجود در برنامههای پیشفرض لپتاپها تمام ندارد، زیرا پس کشف حفره امنیتی خطرناک در پروتکل eDellRoot مورد استفاده در چند مدل شرکت دل، امروز نیز حفره امنیتی جدیدی در نرمافزار پشتیبانی لپتاپهای دل، توشیبا و لنوو کشف شده که میتواند کاربران را به صورت مستقیم در معرض خطر نفوذ هکرها قرار دهد.
خطرناکترین حفره کشف شده مربوط به نرمافزار پشتیبانی لپتاپهای لنوو میباشد که به مهاجمین از راه دور امکان اجرای یک صفحه وب و کدی مخرب را میدهد که بر بسر سیستمعامل ویندوز اجرا خواهد شد. این حفره پس از کشف توسط یک هکر آزاد با نام مستعار ROL، از مرکز هماهنگی امنیتی در دانشگاه کارنگی ملون رسانهای و پیرامون آن توصیهنامهای منتشر گردید.
یکی از مشکلات مربوط به LSCTaskService که درواقع توسط نرمافزار پشتیبانی لنوو بر پایه SYSTEM شکل گرفته میباشد. این سرویس از طریق پروتکل HTTP و پورت 5555 قادر است دستورات را دریافت نماید. یکی از این دستورات که با نام RunInstaller شناخته میشود قادر است فایل یا کدی را در مسیر %APPDATA%\LSC\ حافظه داخلی اجرا نماید.
بدین ترتیب هر کاربر میتواند در آدرس مذکور فایلی را قرار داده و اجرا کند، این در حالیست که سیستمعامل آن را تحت یک برنامه امن شناسایی میکند. این به این معنی است که یک کاربر عادی نیز قادر خواهد بود در نقش صاحب سیستم تغییرات دلخواه را از راه دور اعمال کند. علاوه بر این حفره دیگر حتی اجازه میدهد مهاجم از طریق دایرکتوری ایجاد شده توسط نرمافزار پشتیبانی لپتاپهای لنوو بدون نیاز به ایجاد فایلی مخرب، به راحتی کدهای مورد نظر را اجرا و کنترل کامل سیستم را در اختیار گیرد.
درنهایت از طریق آسیبپذیری LSCTaskService و جعل (CSRF) میتوان به راحتی سیستم هدف را با باز کردن صفحهای مملو از کدهای مخرب در مرورگر مورد حمله قرار داد. شیوهی عملکرد هکرها در CSRF به این صورت است که مهاجم برای اجرای عملیات مالی یا تراکنش دلخواه خود، لینک انجام تراکنش را در محلهای عمومی قرار میدهد. این عملیات ممکن است انتقال وجه از حساب قربانیان به حساب هکر باشد. چنانچه فرد هدف در سایت ناایمن Login باشد و cookie های آن سایت روی مرورگر او تنظیم باشند، کلیک روی لینک ارسال شده توسط هکر میتواند اهداف هکر را اجرایی کند. به عنوان مثال مبلغی از حساب وی کسر کند و به حساب هکر واریز کند.
هرچند لنوو در وبسایت خود با قبول مشکل اعلام کرده که به بی وقفه در حال پیگیری و رفع آن است، با این حال به کاربران نگران توصیه کرده حد الامکان نرمافزار پشتیبانی این شرکت بر روی لپتاپهای خود را تا اطلاع ثانوی حذف نمایند. در سوی دیگر حفرهای به مراتب کم خطرتر نیز در نرمافزار پشتیبانی شرکتهای دل و توشیبا کشف شده که کاربران را وادار به نصب نرمافزارهای ناشناس با نمایش پیدرپی دکمه “Detect Product” میکند.
در نرمافزار توشیبا نیز پس از به دام افتادن هدف، تمامی دستورات هکر از طریق UDP و پورت 1233 در پوشهای به نام TMachInfo در لوکال هاست ذخیره میگردد. یکی از این دستورات که میتواند رجیستری سیستمعامل را بر اساس هدف هکر تغییر دهد Reg.Read نام دارد. نقص موجود در DSD نیز از ظاهراً تلاش شرکت دل برای رفع یک آسیبپذیری قبلی سرچشمه میگیرد.
این شرکت از امضا RSA 1024 برای تأیید هویت دستورات استفاده کرده، این در حالیست که در وبسایت آنها این امضا به صورت عمومی قرار داده شده که میتواند مورد سوءاستفاده افراد سودجو قرار گیرد. البته بای پس بدان معنی است که تا زمانی که خود کاربران دکمه مذکور را کلیک نکنند، نفوذ از طریق DSD به پنل کاربری آنها ممکن نخواهد بود. متأسفانه شرکتهای توشیبا و دل تاکنون به این مشکل واکنشی نشان ندادهاند.