كشفت شركة Security Joes المتخصصة في الأمن السيبراني، في تحليل تقني جديد، عن تصاعد وتيرة الهجمات التي تستهدف تعريفات نظام ويندوز (Windows Drivers)، لا سيما تلك التي تعمل في نمط النواة (Kernel Mode). وتسلط الدراسة الضوء على تقنية تُعرف باسم “أحضر تعريفك الضعيف” (Bring Your Own Vulnerable Driver – BYOVD)، والتي تتيح للمهاجمين تجاوز آليات الحماية المتقدمة من خلال استغلال تعريفات موقعة وشرعية لكنها تحتوي على ثغرات أمنية.
نمط النواة: الامتياز الأعلى والأخطر
تعمل التعريفات في نمط النواة، ما يمنحها صلاحيات كاملة للوصول إلى موارد النظام الحساسة، وهو ما يجعلها هدفًا مغريًا للمهاجمين الراغبين في تصعيد الامتيازات أو تعطيل حلول الحماية. ووفقًا للتقرير، فإن استغلال تعريف ضعيف موقّع يسمح للمهاجم بتعطيل مكونات الدفاع المتقدمة مثل أدوات مراقبة السلوك والاستجابة الطرفية (EDR Callbacks)، بل والسيطرة الكاملة على النظام.
تقنية BYOVD: توقيع شرعي واستخدام خبيث
تعتمد تقنية BYOVD على استغلال الثقة التي يمنحها نظام التشغيل للتعريفات الموقعة رقميًا. إذ يقوم المهاجم بإحضار تعريف معروف بوجود ثغرات فيه لكنه لا يزال موقعًا ومعترفًا به من النظام، ما يتيح تحميله دون اعتراض. بعد تحميل التعريف، تُستغل الثغرات الكامنة فيه لتنفيذ أوامر خبيثة داخل نواة النظام، ما يمنح المهاجم القدرة على تعطيل الحماية، إخفاء البرمجيات الضارة، أو حتى تعطيل نظام التشغيل نفسه.
تاريخ من الاستخدام في هجمات متقدمة
رُصدت هذه التقنية في عدد من الهجمات المتقدمة التي نفذتها جهات تهديد بارزة، بما في ذلك عصابات الفدية مثل BlackByte وAvosLocker، وكذلك مجموعات مدعومة من دول. وفي كثير من الحالات، يتم استخدام تعريفات قديمة أو منتهية الصلاحية، سبق أن سُحبت شهاداتها، لكنها لا تزال فعالة في الأنظمة التي لم تُحدّث بشكل مناسب أو لا تستخدم آليات منع تحميل التعريفات المشبوهة.
توصيات للمؤسسات والحلول الوقائية
يحذر الباحثون من أن توقيع التعريف لا يعني بالضرورة أمانه، ويؤكدون على أهمية استخدام آليات حماية متقدمة تمنع تحميل التعريفات غير الموثوقة، مثل Microsoft Hypervisor-protected Code Integrity (HVCI) وDriver Blocklist التي توفرها Microsoft. كما تُنصح المؤسسات بمراقبة نشاط تعريفات النظام بشكل دوري، والتأكد من أن جميع مكونات النظام محدثة بالكامل.
